1read 100read
2012年6月セキュリティ115: 【分析】HijackThis【研究】 (956) TOP カテ一覧 スレ一覧 2ch元 削除依頼
フレッツ・ウィルスクリア (346)
最強のポートスキャンnmapってどうよ? (291)
X-GUARD Part4 (219)
毎日ウィルスメールが送られてくるのですが・・2通目 (790)
セキュリティ板自治スレ (768)
こんなウィルスはいやだ!! 2匹目 (596)

【分析】HijackThis【研究】


1 :04/08/01 〜 最終レス :12/06/30
CWShredder、Ad-aware、SpybotS&Dを使ったけどスパイウェアが除去できない、
そんな時にスパイウェアを手動で除去できるHijackThisについて研究・分析するスレッドです。
Merijn.org(本家)
ttp://www.spywareinfo.com/~merijn/
【関連リンク】
Hijack Thisによるレポート出力と手動でのスパイウェア除去
ttp://higaitaisaku.web.infoseek.co.jp/hijackthis.html
HijackThisログ解析入門
ttp://higaitaisaku.web.infoseek.co.jp/htkaiseki.html
HijackThis Entry Database
ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html
HijackThisに現れるスパイウェアの例
ttp://higaitaisaku.web.infoseek.co.jp/iranai.html
HijackThisに現れる問題ないエントリーの例
ttp://higaitaisaku.web.infoseek.co.jp/iru.html
【関連スレッド】
エロサイト見たら…助けてください!Part35
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/
【総合】スパイウェア予防駆除 Part4
ttp://pc5.2ch.net/test/read.cgi/sec/1089126024/
スパイウェア゛削除゛ソフト「Ad-aware」Part13
ttp://pc5.2ch.net/test/read.cgi/sec/1090052120/
【雑談禁止】スパイウェア削除ソフトSpybot 15
ttp://pc5.2ch.net/test/read.cgi/sec/1090594050/

2 :
2

3 :
(・3・) エェー 3ですYO

4 :
ぼるじょあたんキタ━━━━━━(゚∀゚)━━━━━━ !!!!!
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/572
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/582-586
やっぱこの話の内容、すげー気になるよね。
俺はかちゅユーザーなんだけどこういう設定できるのかなぁ。

5 :
エロサイト見たら・・・スレから要約したものを転載です。
>ゾヌ2のアクションの置き換えを使用
>Aboneのブラクラリスト機能を使用
>Live2chでは、スクリプトで置き換え
これらを使う事で、HijackThisを貼った結果がこんな風に表示できるようになる…らしい。
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe
 ↓
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ← ▲nCase( ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=58 )
詳しい設定方法とかを教えてもらえるとありがたいです。
この表示されているものって、ひとつひとつ手入力ですか?
それとも、被害対策部屋か何かから引っ張ってくるんですか?>向こうのスレの531=532=533=544さん

6 :
自分は一つ一つ手入力です。(面倒です)
ゾヌ2でアクションで指定文字を含むの場所に
\WINDOWS\Alevir.exe
と書いて、動作置き換えの場所に
\WINDOWS\Alevir.exe ← ▲WORM_OPASERV.F( ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp? )VName=WORM_OPASERV.F
といった感じで記入して、有効にする板を全てにします。
データはひたすらROMに回って集めたり、
被害対策部屋の部屋やSpywareInfoのフォーラムから引っ張ってきたりもします。
SpywareInfoのフォーラム
ttp://forums.spywareinfo.com/

7 :
>>6
なるほど、地道な作業の積み重ねなんですね。
このスレッドで、ぞぬ2用とかAbone用とかLive2ch用とか、
このスレ住人で協力して置き換えデータベースみたいなのを
作れるといいかも。

8 :
>>7
自分の置き換えデータなら、
アップしてもいいですよ。(NGワード)
ただし実行は自己責任でお願いします。
その場合アップロダを指定していたただければサンプルとして、
提出します。

9 :
             ∧_∧
            ((´∀` /^)531=532=533=544さん
            /⌒   ノ 
         γ (,_,丿ソ′  
         i,_,ノ  |||
バンザイ  バンザイ        ヤッター  アリガトー
   ∧_∧ ∧_∧  ∧_∧  ∧_∧
 (^(,, ´∀`)) ・∀・)(ヽ    )')((・∀・ /')
  ヽ    /ヽ    ノ ヽ    ノ  ノ   ノ
   ノ  r ヽ /    | /  O | ( -、 ヽ
  (_,ハ_,),_,/´i,_,ノ (,_,/´i,_,ノ  し' ヽ,_,)
さっそくアプロダ探してきます
このスレッドで、どんどんデータを蓄積できるように協力しますよ

10 :
>>8
2ちゃんねるアプロダはどうでしょ?
ttp://up.isp.2ch.net/upload/c=03okari/index.cgi
はいいろさんがもしこっちのスレに来てたら、まとめサイトに
置いといて欲しいですね。

11 :
>>10
アップしました。
/up/cf627671dd5a.zip
上のファイルをゾヌ2内の\users\ユーザ名\ngres.txtと入れ替える。
注意点があります。このファイルを使って、
2ちゃんねるを見ると普通の表示状態と全く変わってしまいます。
かならずバックアップを取って、
鑑定スレやエロサイトスレで実験してから使ってください。
また一応プライパシーデータであるのでパスを掛けました。
HijackThis

12 :
いっぺんに何人もダウンロードしているヨカソ
全然反応がないや(´・ω・`)ショボーン
しばらく待ってみて後でダウンロードしてみます(・∀・ )

13 :
いつまで待ってもダウンロードできる様子がありません。゚(゚´Д`゚)゚。
他の人で>>11をダウンロードできた人っていますか?

14 :
>>13
落とせたよ。
時間大分掛かったけど、サイズが小さいから
鯖自体が重くなってファイルにアクセスできない
のではないかな、気長に再挑戦してください。

15 :
>>13
ダウンロードできたので別のところにそのままうpした。
ttp://borujoa.s27.xrea.com/upload/source/upload0261.zip
こっちのうpろだのほうが軽いよ。
ttp://borujoa.s27.xrea.com/upload/upload.cgi

16 :
>>15のがまずかったらすぐ消すわ。

17 :
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
ありがとう、あなたもネ申です。
今何人ぐらいの人が持ってるんですかね、このツール。
カバーしてない分とかを、みんなでどんどん情報出していきましょう。

18 :
テストしてみました、結果良好です。
でもぞぬ2はやっぱり重いですね(;´Д`)

19 :
特定のハンドルのトリップや、
ブラクラなんかも置き換えられている。
どうやらこの人、もと鑑定スレの鑑定士なんじゃないかな?

20 :
かちゅで同じような事ができないかどうか模索中・・・
だってぞぬ2重い・・・

21 :
せっかく提供してくれたんだ、興味本位な詮索は辞めて
データを活用することを考えませんか。
基本的な活用方法とか、追加した方がいいデータとか

22 :
>>21
個人的に追加したいなーというデータは
被害対策の部屋のHijackThisデータベースの網羅かな。
どのぐらいをカバーしているのかがまだ不明ですが。

23 :
>>21
他の2chブラウザでも、同じような置換フィルタを作っていきませんか?
たぶんみなさんそれぞれ2chブラウザを使ってる種類、違うんじゃないかな?

24 :
エロサイト見たら…助けてください!Part35
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/666
向こうのお客さん依頼を貼り付けておきます。
だれか見てあげてください。
Logfile of HijackThis v1.98.0
Scan saved at 7:32:22, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Onetouch V1.0\EzButton.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\yvedbcwi.exe
C:\WINDOWS\System32\conime.exe

25 :
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\corujesh.exe
C:\Documents and Settings\kanji\デスクトップ\HijackThis\HijackThis.exe
C:\Documents and Settings\kanji\My Documents\いろいろ\ぶらうざ\openjane-0.1.11.0\Jane2ch.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [onetouch] c:\Program Files\Onetouch V1.0\EzButton.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

26 :
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
O4 - HKLM\..\Run: [pezmjumr] C:\WINDOWS\System32\yvedbcwi.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [arodkn] C:\WINDOWS\arodkn.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hdvml] C:\WINDOWS\System32\corujesh.exe
O4 - Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Jane2ch へのショートカット.lnk = ?
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Super Mapple Digital - カスタム情報記入 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/110
O8 - Extra context menu item: Super Mapple Digital - 地図検索 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/109
O8 - Extra context menu item: 携帯に送る(&K)... - http://www.ikehouse.co.jp/iMode/iModeWS/ie/imghook.asp
O9 - Extra button: マップル - {381F73A9-29D0-45B6-88D7-F82C4BCED5D3} - C:\Program Files\Super Mapple Digital Ver.4\MappleBand.dll
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com

27 :
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d
O16 - DPF: {32A46776-9D08-11D2-AB61-D757626CD108} (IEAutoTool.IEAutoInput) - file://C:\Documents and Settings\kanji\デスクトップ\DOSVDX\200308\FREE\ieat1314\IEATool.CAB
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll

28 :
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E}
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}

29 :
>>◆UkZAUUIUs.
以前にこの人キンタマに感染している。
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
ny使っているのなら、診断対象外。

30 :
>>29
誤爆しました・・・_| ̄|○

31 :
>>29
向こうの677でし。この人、ウィルスチェックやってねーって事か(;´Д`)
釣り人ではなさそうだけど、自己責任かなーという気もしますね。
向こうの674のHijackThis指示は大間違いですよってのは気づきましたが、
キンタマとぬるぽは気づきませんでした(変なエントリだな?とは思いましたが)。
まだ俺も修行足らないな(;´Д`)俺もヤブ医者にならないよう精進せねば。

32 :
>>31
04のO4 - HKLM\..\Run: [ara-key] .....
ってやつは百発百中でキンタマウイルスです。
また、まだウイルス定義の対応していないヌルポース2
(私はnyの作者ですというやつ)はWindowsの標準環境に、
似たエントリーを叩きだします。
自分が特別に診断して下は笑った例。
O4 - HKLM\..\Run: [System] C:\WINDOWS\Exploder.exe
よくみるとExpolerではなくExploderというのがポイント。

33 :
>>32
向こうに出すべきだった指示
「おてぃんてぃんを高速でしごけば直せます(゚∀゚)」
キンタマウィルスはデータベースに入れました、情報提供ありがとうございます。

34 :
EliteBar情報
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 36.dll
データベースに登録するには、
\WINDOWS\EliteBar\EliteBar version 37.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
\WINDOWS\EliteBar\EliteBar version 36.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
EliteBar version 36.dllの場合もあった。
まだ、Ad-AwareやSpybot-S&Dが対応していない可能性のあるスパイウェアです。
指示はFixさせた後に再起動。起動後にEliteBarフォルダをゴミ箱に移させて、
もう一度Ad-Awareを実行させて念のためゴミ掃除させます。これで解決を得ています。

35 :
宜しくお願いします。
Logfile of HijackThis v1.98.0
Scan saved at 22:25:06, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fujitsu\sa\de\jsharp\bin\SBRSVC.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

36 :
続きです
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCSRVC.exe
C:\Program Files\Fujitsu\MyMedia\MyMedia Server\mediaserver.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Fujitsu\chitose\chitose.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\hgchcwii.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ChIntCal\CHINTCAL.EXE
C:\WINDOWS\System32\igfxext.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fujitsu\sa\bin\mpbtn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\Local Settings\Temp\hijackthis.zip の一時ディレクトリ 3\HijackThis.exe

37 :
続きです
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D} - C:\WINDOWS\System32\bilcmavq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

38 :
続き
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe"
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

39 :
O4 - HKLM\..\Run: [FMVランチャー] C:\fjuty\wallbtn\FMVLauncherKicker.exe
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

40 :
以上です。
O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll

41 :
俺は分析するつもりはないが、HijackThisがアップデートされてるから報告。
HijackThis 1.98.1
http://forums.net-integration.net/index.php?showtopic=20686

42 :
続いてアンインストールプログラムのログその一です
---------- UNINSTALLPROGRAMLIST
"DisplayName"="Ad-aware 6 Personal"
"DisplayName"="Agere Systems AC'97 Modem"
"DisplayName"="ダイヤルアップ チェッカー"
"DisplayName"="DivX Codec"
"DisplayName"="DivX Player"
"DISPLAYNAME"="Microsoft DirectX Transform optional components"
"DisplayName"=""
"DisplayName"=""
"DisplayName"="ギコナビ"
"DisplayName"="Internet Explorer Q867801"
"DisplayName"="@フォトレタッチ"
"DisplayName"="@メニュー"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="PC乗換ガイド"
"DisplayName"="@映像館"
"DisplayName"="PowerUtility"
"DisplayName"="SanrioTinyPark"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="KARUGARUnet 4.0"

43 :
その二です
"DisplayName"="Windows XP ホットフィックス - KB810217"
"DisplayName"="Windows XP Hotfix (SP2) [See KB810243 for more information]"
"DisplayName"="Advanced Networking Pack for Windows XP"
"DisplayName"="Windows XP ホットフィックス - KB818332"
"DisplayName"="Windows XP ホットフィックス - KB820291"
"DisplayName"="Windows XP ホットフィックス - KB821253"
"DisplayName"="Windows XP ホットフィックス - KB822603"
"DisplayName"="Windows XP ホットフィックス - KB823182"
"DisplayName"="Windows XP ホットフィックス - KB824105"
"DisplayName"="Windows XP ホットフィックス - KB824141"
"DisplayName"="Windows XP ホットフィックス - KB824143"
"DisplayName"="Windows XP ホットフィックス - KB825119"
"DisplayName"="Windows XP ホットフィックス - KB826367"
"DisplayName"="Windows XP ホットフィックス - KB826939"
"DisplayName"="Windows XP ホットフィックス - KB826942"
"DisplayName"="Windows XP ホットフィックス - KB828035"
"DisplayName"="Windows XP ホットフィックス - KB828741"
"DisplayName"="Windows XP ホットフィックス - KB833407"
"DisplayName"="Windows XP ホットフィックス - KB835732"
"DisplayName"="Windows XP ホットフィックス - KB837001"
"DisplayName"="Windows Media Player Hotfix [詳細については、KB837272 を参照してください]"
"DisplayName"="DirectX 9 修正プログラム - KB839643"
"DisplayName"="Windows XP ホットフィックス - KB839645"
"DisplayName"="Windows XP ホットフィックス - KB840315"
"DisplayName"="Windows XP ホットフィックス - KB840374"
"DisplayName"="Windows XP ホットフィックス - KB841873"
"DisplayName"="Windows XP ホットフィックス - KB842773"
"DisplayName"="Microsoft Data Access Components KB870669"
"DisplayName"="LiveReg (Symantec Corporation)"
"DisplayName"="LiveUpdate 1.90 (Symantec Corporation)"

44 :
その三
"DisplayName"="窓の手 2004"
"DisplayName"="Medi@Show"
"DisplayName"="Microsoft .NET Framework (JPN) v1.0.3705"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package(JPN) v1.0.4205"
"DisplayName"="MyMedia (remove only)"
"DisplayName"="MyMedia Server (remove only)"
"DisplayName"="OASYS Viewer V8"
"DisplayName"="OCNスタートパック"
"DisplayName"="Outlook Express Q823353"
"DisplayName"="OpenMG Limited Patch 3.3-03-10-05-01"
"DisplayName"="OpenMG Limited Patch 3.3-03-08-27-01"
"DisplayName"="Windows XP Hotfix (SP2) Q322011"
"DisplayName"="Windows XP Hotfix (SP2) Q327979"
"DisplayName"="Windows XP Hotfix (SP2) Q810090"
"DisplayName"="Windows XP Hotfix (SP2) Q811147"
"DisplayName"="Windows XP Hotfix (SP2) Q814995"
"DisplayName"="Windows XP Hotfix (SP2) Q815917"
"DisplayName"="Windows XP Hotfix (SP2) Q818213"
"DisplayName"="Windows XP Hotfix (SP2) Q818654"
"DisplayName"="Windows Media Player Hotfix [詳細については、Q828026 を参照してください]"
"DisplayName"="RealOne Player"
"DisplayName"="Shockwave"
"DisplayName"="Spybot - Search & Destroy 1.3"

45 :
その四
"DisplayName"="Start! @homepage"
"DisplayName"="Norton Internet Security (Symantec Corporation)"
"DisplayName"="Viewpoint Media Player (Remove Only)"
"DisplayName"="FMモバイルスイッチャー "
"DisplayName"="IBM ホームページ・ビルダー 7 ライト"
"DisplayName"="筆ぐるめ Ver.11"
"DisplayName"="GW-NS54GM"
"DisplayName"="IndicatorUtility"
"DisplayName"="ODN Signup Software"
"DisplayName"="Norton Internet Security"
"DisplayName"="AOL"
"DisplayName"="@拡大ツール"
"DisplayName"=""
"DisplayName"="@フォトレタッチ"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package 1.1"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="Visual J# .NET Redistributable Package"
"DisplayName"="FM かんたんバックアップ"
"DisplayName"="Google Toolbar for Internet Explorer"
"DisplayName"="PC乗換ガイド"
"DisplayName"="WebFldrs XP"
"DisplayName"="DION (KDDI)"
"DisplayName"="OpenMG Secure Module 3.3"
"DisplayName"="Norton AntiSpam"
"DisplayName"="@niftyでインターネット"
"DisplayName"="筆王"
"DisplayName"="DVDfunSTUDIO"
"DisplayName"=""
"DisplayName"="Microsoft Windows Journal ビューア"

46 :
その五
"DisplayName"="Norton Internet Security"
"DisplayName"="アップデートナビV1.1L20"
"DisplayName"="Norton Internet Security"
"DisplayName"="ワンタッチボタン設定"
"DisplayName"="Norton Internet Security"
"DisplayName"="@nifty環境設定ユーティリティ"
"DisplayName"="富士通サービスアシスタント(マニュアル&サポート)"
"DisplayName"="Norton AntiSpam"
"DisplayName"="Microsoft Office Home Style+"
"DisplayName"="時事通信社「家庭の医学」デジタル版U"
"DisplayName"="@映像館"
"DisplayName"="Microsoft .NET Framework (JPN)"
"DisplayName"="Symantec Network Driver Update"
"DisplayName"="@料金表示"
"DisplayName"="PowerUtility"
"DisplayName"="SigmaTel AC97 オーディオ ドライバ"
"DisplayName"="百年プリント@コニカ注文用ソフトウェア"
"DisplayName"="Intel(R) Extreme Graphics 2 Driver"
"DisplayName"="GAMEPACK2004F"
"DisplayName"="Microsoft Office Personal Edition 2003"
"DisplayName"="Powered Internet[POINT] サインアップツールV1.0"
"DisplayName"="InterVideo WinDVD"
"DisplayName"="Norton Internet Security"
"DisplayName"="Realtek RTL8139/810x Fast Ethernet NIC Driver Setup"
"DisplayName"="WEB便利ツール"
"DisplayName"="SanrioTinyPark"
"DisplayName"="DVD-RAMドライバー"
"DisplayName"="ALPS Touch Pad Driver"
"DisplayName"="Visual J# .NET Redistributable 1.1- Japanese Language Pack"

47 :
その六
"DisplayName"="CC_ccProxyMSI"
"DisplayName"="BIGLOBEでインターネット"
"DisplayName"="Plugfree NETWORK "
"DisplayName"="Norton Internet Security"
"DisplayName"="Adobe Reader 6.0 - Japanese"
"DisplayName"="Microsoft .NET Framework 1.1 Japanese Language Pack"
"DisplayName"="FlashAid"
"DisplayName"="@コントローラ"
"DisplayName"="DVD-MovieAlbumSE 3"
"DisplayName"="ATLAS 翻訳パーソナル 2004 LE (ホームページ翻訳専用)"
"DisplayName"="FUJITSU 音声合成"
"DisplayName"="Norton AntiVirus"
"DisplayName"="Microsoft .NET Framework 1.1"
"DisplayName"="Symantec Script Blocking Installer"
"DisplayName"="So-net簡単スターターV2.3"
"DisplayName"="CC_ccStart"
"DisplayName"="ccCommon"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="ツボ リラックス"
"DisplayName"="BeatJam"
"DisplayName"="@FTP"

48 :
長くなりましたがこれで最後です。
"DisplayName"="@メール"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVオンラインユーザー登録"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="MotionDV STUDIO"
"DisplayName"="うれしレシピ"
"DisplayName"="Norton Internet Security"
"DisplayName"="MSRedist"
"DisplayName"="Microsoft Windows XP CD 書き込みウィザード HighMAT Extension"
"DisplayName"="てきぱき家計簿マム4"
"DisplayName"="プロアトラスW2"
"DisplayName"="マップサーバースイッチャー"
"DisplayName"="乗換案内 時刻表対応版"
"DisplayName"="柿木将棋V Light"
"DisplayName"=""

49 :
大変長くなりましたが、識者の皆様、>>35->>40、>>42->>47
どうか宜しくお願いします。

50 :
分析と研究はするが、助言をするかは判らない。
スレタイとか、ここまでの流れを見てれば判るよね?

51 :
>>50
わかります。客観的なご意見をいただけるだけでも有り難いと思っております。

52 :
>>48
家計簿やるなよ

53 :
出来るだけ、鑑定してやらないと
協力してくれる人居なくなるぞ。

54 :
>>50 ( ´_ゝ`)
>>51 マジレスしない
今HijackThis見ている人って、俺以外で何人いらっしゃいますか?
フィルターに引っかかっている問題ありエントリーはなしで、フィルターの
表示なし分を調べ中です。ちょっと(もしかしたらかなり)俺は時間かかるかも。。。

55 :
俺以外で何人いらっしゃいますか?
>いないみたい

56 :
>>55 工エェ(´Д`)ェエ工
>>35-48さん 一応の分析結果です。フィルタ以外のもののみ。(フィルタは全て問題なしです)
googleでも一切ヒットしないもの
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
googleでヒットはあるが、情報がないもの
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
富士通関連のもの
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
Microsoft Office関連のもの
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL  
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll 
不明情報のみあるもの
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB  ←▲HijackThis 016List Bエントリー(評価未定)
お好みで取捨(被害対策の部屋)
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 ← ▲IME関係エントリー、好みで取捨(被害対策)
問題なしエントリ
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab  ←●HijackThis 016List Aエントリー(問題なし)

57 :
>>56の続きです。
googleで検索しても出てこないBHOがやや?ですが、FIX指示を出す程の根拠はないので今のところは放置。
同じく情報のない04エントリー(Tars)も、一応今のところは放置。
未分類の016エントリー(DreamTechnologies MADO Image Viewer Control)も今のところは放置。
後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。
つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。
もし不安を感じるようでしたら、以下のスレッドに目を通してみて、
フリーのアンチトロイソフトを導入してみてもいいかもしれません。
もしかしたらノートン先生が見逃していたトロイが引っかかるかも?
☆☆トロイの木馬☆☆2台目
http://pc5.2ch.net/test/read.cgi/sec/1087290865/
あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので
必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。

58 :
>>57の続きです。
他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな?という感じです。
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。
覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。
(HijackThisのディレクトリと同じところにありますから、きっと>>35-48さんは「C:\Documents and Settings」に
色々とダウンロードしたファイルを置いてらっしゃると思いますので)

59 :
PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。
宜しくお願いします。以下が現在のものとなります。
Logfile of HijackThis v1.98.0
Scan saved at 16:00:23, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE

60 :
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ARVEL\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
C:\WINDOWS\SYSTEM\INTERNST32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NECTVRC\TVRC.EXE
C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE
C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE

61 :
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}
O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196}
O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196}
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

62 :
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: SmartVisionリモコン.lnk
O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
以上です。OSは先のとおりMeです。
症状はホームページがwww.selfsearch.comに指定されてしまい、
ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。
また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。
たとえば>>57で書いてあるURLのリンクもmoreporn.bizとなってしまっています。
VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。
現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。
自己責任でやりますので、何方か宜しくお願いいたします。

63 :
誘導されてきましたのでお願いします。
●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります
●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。
以下ログです。
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe

64 :
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\hh64orPE.exe
C:\WINDOWS\System32\pjjkvkt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\winmm64.exe
C:\Documents and Settings\kim\Application Data\sacb.exe
C:\WINDOWS\System32\soq.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

65 :
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

66 :
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [phkkidnvqipup] C:\WINDOWS\System32\pjjkvkt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKCU\..\Run: [Eheu] C:\Documents and Settings\kim\Application Data\sacb.exe
O4 - HKCU\..\Run: [Nlbof] C:\WINDOWS\System32\soq.exe

67 :
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29258cd32e922638e206/netzip/RdxIE601_ja.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{239347D8-CEC9-490C-B6C8-85B4944CCF4E}: NameServer = 203.139.160.73,203.139.161.39
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpcdm.dll

68 :
プログラムの追加と削除には特に怪しいものはありませんが。
気になるのが一つ、Search Assistant Uninstallというやつです。
鑑定お願いします

69 :
まず最初に>>59-62さん
えーと、向こうで「ログおかしくない?」って言った者ですが
向こうのログと比較して、016がこっちでは新しく現れてますよね。
それから、「全てのサイトが信頼済みとなってしまいます」なのに、
HijackThisに全く出てきていないのも不思議ですよね。
(HijackThisには信頼済サイトになっているものはログに出てきます)
向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
それとも、削除していないのでしょうか?
HijackThisにこの辺の矛盾があるので、向こうで「おかしくない?」と言っていたのですが。
最初に、まずWindowsUpdateをやって下さい。おそらくやっていないはずです。
>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
次に、このページを参考にして、ウィルスバスター2004が、最新のパターンファイル、
検索エンジンの状態になっているかを確認して下さい。もしなってなければアップデートして下さい。
ttp://www.trendmicro.co.jp/support/index.asp
確信がある訳ではないですが、どうもウィルスのように思われる怪しいエントリーが見受けられます。
アップデートで最新の定義になったら、全てのファイルに対してもう一度ウィルススキャンをかけてみて下さい。
一応その段階で、HijackThisを取らずに、先に状況報告を下さい。(ウィルスが検知されたかどうか、など)

70 :
失礼、訂正です
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除をFixに置き換えてください。Fixしたのに戻ったのでしょうか?それともFixしてないのでしょうか?

71 :
あと、>>59-62さんの場合は「****.biz」に飛ばされるという事なので
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
ここを参照してみてください。これの亜種の可能性があります。
(このスパイウェアの場合は、HijackThisのログに出てきません)

72 :
続いて>>63-68さん
まず、CnsMinが入っている状態なので、
コントロールパネルのアプリケーションの削除から、
「Jword」などのプログラムがあった場合にはこれを削除して下さい。
CnsMinの除去方法 (ここを参考に)
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html
>>68の「Search Assistant Uninstall」は、下を参照して、
症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。
(症状が当てはまる場合には、アンインストールしないで下さい)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217
次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。
なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を
確認して下さい(チェックが入っている場合は、チェックマークを外してください)。
また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。

73 :
それから、>>59-62さん、>>63-68さんお二人ともですが
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226
このウィルスに感染していると思われます。
まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、
最新でない場合にはアップデートして下さい。
その上で、全てのファイルを再度スキャンしてみてください。
駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。

74 :
>>59-62さん
向こうで、他の方からあなたにこういうアドバイスが出ていますので、
併せて確認してみて下さい。
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927

75 :
>>69さん
有難う御座います。ご報告いたします。
WindowsUpdate:全て完了いたしました
ウイルスバスター:最新版のようです。
検査の結果:問題はありませんでした。
(但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです)
>向こうのログと比較して、016がこっちでは新しく現れてますよね。
ここに張りましたログは16時頃に検索した最新のものだったためと思われます。
>それから、「全てのサイトが信頼済みとなってしまいます」なのに、
>HijackThisに全く出てきていないのも不思議ですよね。
>(HijackThisには信頼済サイトになっているものはログに出てきます)
それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除しましたが復活しています。
また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため
これではないと思います。
>>74さん
ご報告有難う御座います。ただ今確認中です。

76 :
>>75
リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。
(隔離=メイン実行ファイルだけを別の場所に置いている状態なので、
当然レジストリその他は、全く修復されない状態のままです)
ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が
可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。
あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、
検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で
確認してみると良いと思います。
ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、
上で紹介したページの手法を実際に一度試してみて下さい。
亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。
別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。
大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。
その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。

77 :
遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。
駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。
亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか?
発見されたウイルスは以下のとおりです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A

78 :
向こうのスレッドの
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947
これを考え合わせると、以下のエントリをHijackThisでFixしてみてください
(Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。

79 :
>>77の2つはこれですね
PurityScan
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206
WindowsSA
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
まず、ここの内容を読んでおいて下さい。
トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、
HijackThisでは04のエントリーになります。
ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが
あるものを全てFixしてみて下さい。

80 :
大変遅くなりました。
>>78のFixは完了しましたが、問題は解決しませんでした。。。
あと>>79のリンク先が先にいったとおりmoreporn.bizに変わってしまい分からないので、
お手数ですが、次回返信時にtp://〜といった形で書いてもらえますでしょうか?
>>79のFixはこれから試してみます。

81 :
連書き申し訳ありません。
>>79をHijackThisで探してみましたが、ウイルスとして検出されたファイル名に
該当するエントリーは発見できませんでした。。。

82 :
>>81
ウィルスとして検出されたファイルは、既に削除済ですか?まだ残っていますか?

83 :
既に削除しています。
なお、現在のところ、リアルタイム検索で発見には至っていません。

84 :
IEを立ち上げたときに青い画面が表示されます。
Detected SPYware! System error #384とかいてあります。
お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 21:58:43, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE

85 :
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\デスクトップ\BEGINNERTOOL 121\BEGINNERTOOL 121.EXE
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\YCOMP5~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\ycomp5_3_15_0.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe

86 :
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE
O4 - Startup: JSクイックランチ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html

87 :
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/jp/win/QuickTimeInstaller.exe
O16 - DPF: {B67E0278-CD82-4CCA-AD9D-C1FBF538774A} (XPink.XPinkCtl) - http://cc.st82.arena.ne.jp/syojo/XPink.CAB

88 :
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://www.slashpink.net/new_03/158/XDialer2.CAB
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) - http://www.asia-telemedia.com/dialer/0058/DialerX.cab
O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/alpha/wata/cra/b/eConnect.dll
O16 - DPF: {00001007-B15C-11D4-97A4-0050BF0FBE67} (NetmarbleJapanStarter Class) - http://www.netmarble.ne.jp/game/NMStarter_JPN.cab
O16 - DPF: {4085F8D0-D76A-4B1D-A82E-D580BDF14FD8} (HanGamePluginJP12 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP12.cab
O16 - DPF: {29F5DFC6-6A4B-47DB-BCF4-5A74F7CBFF43} (HanGamePluginJP13 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} (zxc) - http://www.2233.tv/module/zxc.cab
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab
O16 - DPF: {A909CE70-E483-4BD2-848C-B1842508760E} (MuLauncher Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab
O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - http://battlecart.hangame.co.jp/acgame/HgArcadePluginJP3.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://www.i-love-epson.co.jp/support/selftest/inkjet/Prg/ESTPTest.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw9fd.law9.hotmail.msn.com/activex/HMAtchmt.ocx

89 :
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {0A7C1A7A-5100-42C9-94A8-F803B2E24CE0} (BaBoo Class) - http://219.101.200.198/H_hangame/HgBaBoo/HgBaBoo.cab
O16 - DPF: {57A3B6F7-E1C0-4A11-B2E5-F3D0DA12E754} (StoneAgeLauncher Class) - http://www.hangame.co.jp/publish/sa/HgSA.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo!ツールバー) - http://dl.companion.yahoo.co.jp/dl/toolbar/yiebio4.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:MAIN5774.MHT!http://213.159.118.226/content.php::/x.exe
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

90 :
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol hijack: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D}
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: System - {F6542A5E-9820-454A-8A9C-BE4662BD4721} - C:\WINDOWS\system32\system32.dll

91 :
>>88も84です。
おねがいします。

92 :
>>84
このファイルがもうないよ、ってのを最初にレジストリから削除してみたら?
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)

93 :
>>91
ウイルスチェックしたか。
それと、ここに貼る前に、エロ助の
テンプレやってからにしろよ
ザッと見ただけでも悲惨な状態だよ。

94 :
>>84-91
今回出ている症状以外にも、多数のスパイウェア感染がありますので、まず
HijackThisで直されるより先に、こちらのスレのテンプレを実行してみて下さい。
エロサイト見たら…助けてください!Part35
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/
あと、あなたの症状はこちらのページを参考にしてみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html
>>83さん
以下のエントリをFixしてみて、一度PCを再起動してみて下さい。
その後、再度向こうのスレのテンプレをやってみて下さい。
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab

95 :
>>84
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
これ、自分で信頼済みに登録したの?
これらのサイトに行ったら、全部勝手に何でもインストールされてしまうよ。
それとソフトを使ってスパイウェアをまず削除する事。

96 :
>>94さん
有難う御座います。
削除した結果右下の「信頼済みサイト」表示が「インターネット」に。
「Done」の表示が「ページが表示されました。」に。
***.bizだったリンクが元に戻りました。
しかし、ホームページの設定だけはなぜか戻りません。
selfsearch.bizのままとなってしまいます。
また、現在でも全体的にシステムが重いような気がします。

97 :
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
どうやら、復活しているスパイウェアエントリの根源はこれだったようです。
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
Gaobotというウィルスとの事です。
トレンドマイクロのデータベースには該当が多すぎてどれか特定できませんでしたが。
ホームページの設定が戻っていないというのは、どこのページに行っても
まだ勝手にselfsearch.bizになってしまう状態という事でしょうか?

98 :
>>97
具体的にいうと新しいウインドウを開いたときなどにabout:blankに設定しても
またselfsearch.bizにアクセスし、設定も戻ってしまっている、ということです。
やたらと新しいウインドウが開くのが遅いので(システム全体が重い)、これと何か関係があるのでしょうか?

99 :
テンプレが再度全て終わっているならば、HijackThisを起動してみて下さい。
まず最初に、>>94でFixしたはずのエントリーが復活しているかいないかを確認して教えて下さい。
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
次に、この該当ファイルのプロパティを確認してみて下さい。
Windowsと無関係の場合には、これをFixしてみて、再起動して下さい。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
トレンドマイクロの販売管理費 (213)
HackerTracer復活か!! (357)
一番よいアンチスパイウェアは何だ? (209)
[Firewall ] PCGATE [もってる香具師集合] (331)
Tiny Personal Firewall Part5 (483)
システムバスター2005 Part21 (772)
--log9.info------------------
【キモい】猫ヲタが嫌い【自己中】 (716)
ζζ寄生虫が苦手ξξ (252)
また猫ヲタが殺人「子供は嫌い!猫のほうが好き」 (260)
松潤重傷w (403)
【飢餓】共食い【子殺し】 (874)
野良猫への迷惑餌やりに罰金、愛誤オワタw (737)
★ごめんね、汚源太・・糞を撒き散らした成猫へ 7 (407)
愛誤に殺された犬猫たちに送る追悼のレス6 (636)
犬好きは例外なく基地外 (214)
虐待したいドラクエのモンスター (360)
【ノーリード】許せないバ飼い主【糞放置】 (250)
【sage】 雑談スレ 【マッタリ】 (931)
こんな動物虐待助長板は即刻潰れるべき (379)
生き物苦手板大好き (200)
★空(そら)ザマーミロwこの板で殺された糞猫 (383)
◎動物詩集 第九集 in苦手板 (325)
--log55.com------------------
期待はずれなモンスターハンター2
☆SCU改専用スレ★
【パワ11】漫画のキャラの能力査定 その2
ツーリストトロフィータイムアタック専用スレ
【XBOX】アライドストライク攻略スレ
大乱闘スマブラX攻略スレ
バイオハザード5マーセナリーズリユニオンSOLO専用
ファントムダスト攻略スレ 2