相談箱

スポンサーサイト（詳細）

• JCOPカード少量購入？ - JCOP10￥800,JCOP20￥950、開発キットもあります

• このQ&Aは役に立った
• 役にたった：0件

• このQ&Aをともだちに紹介する
• このQ&Aをブックマークする
• このQ&Aについてブログを書く

質問
QNo.852603	トップページを変えられた・・。
質問者：koroteke	インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。 よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。
困り度： 暇なときにでも
質問投稿日時： 04/05/09 01:52

回答良回答20pt
ANo.102	＞その使用目的もわかりません。(^^ゞ ＞ぜひ教えていただけますでしょうか？ ↓こういったサイトのJavaアプレットを動作させるために使用します。 悪質なものに置き換えられた可能性として Java Runtime の上書きを回答したのです。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/06/08 12:54
ログインして投票する 参考になった：4件
参考URL：	​http://fukuoka.cool.ne.jp/fullhouse/labo/labo.html​
この回答へのお礼	誠に勝手ながら、とある事情によりこの質問を締め切りたいと思います。 まだ、解決はしておりませんが、気が向いたときにOSの再インストールをしようと思います。 皆様本当にありがとうございました。

回答良回答10pt
ANo.101	No.97 １．レジストリキー全体をバックアップ 　レジストリキー全体をバックアップするのは結構時間がかかります。 　私の場合、(XP)で2〜3分６MB 以上ありました。 　 ２．レジストリキーをバックアップしない 　回答者の立場としてそれはいえません。 　「いざとなればクリーンインストール」 　と割り切ればバックアップなどいらないという考えもあります。 　あくまで自己責任という逃げ口上を付けておきます。 　 ３．個別にバックアップ 　キーを右クリックしたとき「削除」と同時に「エクスポート」コマンドが表示されます。 　操作が面倒ですが、貴方の場合、これが適していると思います。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/06/04 08:03
ログインして投票する 参考になった：1件
この回答へのお礼	操作が間違ってるのかな？個別に削除してもエクスポートは出来ないみたいです。 けどまぁ、いざとなれば・・・。

回答
ANo.100	＞どれをダウンロードすればいいんでしょうか？ 「Windows (オフラインインストール) 」が良いのでは
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/06/04 06:37
ログインして投票する 参考になった：0件
この回答へのお礼	ダウンロードしました。 けど、どうやって使うものなのか、その使用目的もわかりません。(^^ゞ ぜひ教えていただけますでしょうか？

回答
ANo.99	それと、 ANo.#98の Browser Helper Objectsキーに登録されているものは 「インターネットオプション」の 「詳細設定」タブの 「サードパーティ製のブラウザ拡張を有効にする」の チェックを外すと機能しなくなります。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/06/03 05:09
ログインして投票する 参考になった：2件
この回答へのお礼	最近何かと忙しくて返事が遅れていることをお許しください。m(__)m と、補足です。 スタートアップのチェックをすべて外してもしばらくするとやっぱりaboutblankになっちゃいます。

回答
ANo.98	＞色々調べたんですが、 ＞しばらくしてからaboutblankになるようです。 ＞もしくは何かの動作がきっかけになるのかな？ システム設定ユーティリティの 「スタートアップ項目を読み込む」にチェックが 入っていなくてもそうなるのなら、 Browser Helper Objects が怪しいです、 これはInternet Explorerで特定のアクションを起こすと動作します。 （アクティブデスクトップがオンになっていると Internet Explorerを起動しなくても動作する可能性があります） heta2ちゃんの ２． マイコンピュータ 　＋HKEY_LOCAL_MACHINE 　　＋SOFTWARE 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Explorer 　　　　　　　＋Browser Helper Objects このBrowser Helper Objectsキーにぶら下がっている のがそうです。 それと、普通は マイコンピュータ 　＋HKEY_CLASSES_ROOT 　　＋PROTOCOLS 　　　＋Filter 　　　　＋text/plain ←これはありません ４． マイコンピュータ 　＋HKEY_CURRENT_USER 　　＋Software 　　　＋Microsoft 　　　　＋Internet Explorer 　　　　　＋Toolbar このToolbarキーを削除して構いません。 これは「マイコンピュータ」等を開くと エクスプローラが再作成してくれます。 （ツールバーの設定が初期化されます） ５．のJava Runtime ですが、 {8AD9C840-044E-11D1-B3E9-00805F499D93} {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} このCLSIDは正規のものをインストールしても スパイウェアとして認識されてしまいます。 ↓から最新版をインストールして上書きしてみるのもいいかも。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/06/03 04:54
ログインして投票する 参考になった：0件
参考URL：	​http://java.com/ja/download/manual.jsp​
この回答へのお礼	すみません、どれをダウンロードすればいいんでしょうか？

回答
ANo.97	ここは「CWShredder」を信じて、「やるっきゃない」と思います。 その前にittochanさんのご意見、是非、拝聴したいところでもあります。 １．レジストリのバックアップ 　レジストリエディターを開き「マイコンピューター」右クリック 　「エクスポート」をクリック 　適当な名前(例えば、2004_06_02.reg)でわかりやすい場所に保存 ２．レジストリキーの削除 　HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49} 　HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2} 　HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2} 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\HOMEOldSP ３．レジストリ値の削除 　HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main 　Start Page = "about:blank" 　レジストリキーを消していけません。 　右側の画面で「Start Page」を右クリックして「削除」 ４．下のレジストリ値は私のレジストリにもあるので、消さない方がいいかも 　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser 　レジストリ値　ITBarLayout ５．「HijackThis」ログで削除 　気になるのは、No.54にある二つの設定です。 　[{8AD9C840-044E-11D1-B3E9-00805F499D93}] 　[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}] 　「HijackThis」のログで下記の行にチェックを入れて「Fix checked」 　016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)- 　016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)- 　018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} ６．ファイルの削除 　c:\windows\system\aljnbaa.dll 　多分セーフモードでの操作になると思います。 ７．パソコンを再起動 ８．「CWShredder」で再チェック これでも復活するなら?　くよくよしない。 プログラムに精通した人間が本気でかかれば素人を騙すのは簡単なことです。 特に、正規のファイルを改変された場合など、素人には手も足も出ませんし、手を出すべきでもありません。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/06/02 19:26
ログインして投票する 参考になった：1件
この回答への補足	HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49} 　HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2} 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2} はありませんでした。他は削除しました。 ３つのHijackThisのログも存在しませんでした。
この回答へのお礼	最初の段階でつまづいてしまいました。 エクスポートができないです。(+_+) 出来なくても削除して大丈夫ですか？

回答
ANo.96	「TrackZapper」 私なら、このソフトはお勧めしません。 １．検出基準が出鱈目 　私が試用してみた結果、必要なファイルであって、スパイウエアでもウィルスでもないファイルが続々検出されました。 　間違って削除していたらと思うとぞっとします。 ２．「Ad-aware」の旧バージョンそっくり 　盗用だとはいえませんが、とにかく旧バージョンとよく似ています。 ３．「LSPFix.exe」 　これも、​http://cexx.org/lspfix.htm​ で公開されているソフトと殆ど同じ。 　出典も表示なし。 　 ４．98では無理 　幾つかのプログラムをメモリに常駐させるタイプですので、98系のOSでの使用は苦しいのではないかと思います。 　特に、ウィルスソフトを常駐させた上に、さらに、このソフトを実行させるのは、殆ど不可能と思います。 　 ５．アンインストールが不完全 　プログラムを終了したあとも２つのプログラムがプロセスで実行されたまま。 　このため、完全にアンインストールされず残骸が残ってしまいます。 　 ６．「Ad-aware 6」でスキャン 　なんと!スパイウエア(Malware)? 　 ７．Google検索 　「TrackZapper」を日本語で検索してみてください。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/06/02 12:01
ログインして投票する 参考になった：3件
この回答へのお礼	ご忠告ありがとうございます。 使用しないことにします。 結局使わなかったけど、残骸が残っているのかな？？

回答
ANo.95	＞２つのチェックを外しても、 ＞しばらくするとまたaboutblankにもどってます。 ＞この２つは違うのかな？ 違うみたいです。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/06/02 05:05
ログインして投票する 参考になった：1件
この回答への補足	色々調べたんですが、しばらくしてからaboutblankになるようです。もしくは何かの動作がきっかけになるのかな？ なので、どれが原因なのか判定するのが難しいです。 どういう判定方法がいいのかな？(?_?)
この回答へのお礼	調べなおします。 また、補足します。

回答
ANo.94	trialボタンを押すと、画面が消えてしまうのですか？ 私の場合は、すぐに次の画面が出ました。 インストールを失敗しているのかもしれません。 再度インストールをしてみて下さい。 あと、同じ症状で困っていた方が、また無事に削除に成功したようです。 ​http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865​ 上記ページを参考にしてみて下さい。 このspywareはレジストリをいじらなくても、駆除ソフトでなんとかなるレベルかもしれません。 このソフトさえ上手く動作すれば、駆除できる可能性もぐっとあがります。 なんとか、動作できるようになれば良いのですが。。 。 あと一歩です。がんばりましょう（＾＾）
回答者：Cuty_Cat
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/06/02 04:51
ログインして投票する 参考になった：0件
参考URL：	​http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865​
この回答へのお礼	ありがとうございます。 けど、No.96のheto2さんのご意見で使用しないほうが良いとのことなので、使わない事にします。 それに、Ad-awereが消しちゃったみたいです。 せっかくのご回答なんですが・・。すみません。m(__)m 誠にありがとうございます。

回答
ANo.93	No.88のお返事 AAA.Possible Browser Hijack attempt 最後のブロックにある下記項目が非常に気になります。 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main Start Page = "about:blank" BBB.Cool Web Search これについての情報が何か無かったでしょうか? CCC.「Ad-aware 6」で駆除できないか試してください。 １．IEの画面を全て閉じておきます。 ２．「Ad-aware 6」を起動 ３．「Chek fo updates now.」をクリックして最新のデータにします。 ４．スキャン実行＞終了 ５．「Show logfile」をクリック ６．「Save」をクリックして適当なファイル名(例えばC:\AAW001.txt)で保存 ７．「Next」をクリック ８．「X objects will be removed. Continue?」で「OK」をクリック。 ９．パソコンを再起動して、「Ad-aware 6」で再スキャン
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/06/01 08:23
ログインして投票する 参考になった：0件
この回答へのお礼	CoolWebSearchの情報です。 CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : CLSID\{6439D220-B3F5-11D8-B660-00906B195D49} CoolWebSearch Object recognized! Type : File Data : aljnbaa.dll Object : c:\windows\system\ FileSize : 30 KB Created on : 04/06/01 8:59:14 Last accessed : 04/05/31 15:00:00 Last modified : 04/06/01 8:59:16 CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2} CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : PROTOCOLS\Filter\text/html CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : PROTOCOLS\Filter\text/plain CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_LOCAL_MACHINE Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6439D221-B3F5-11D8-B660-00900455F8D2} CoolWebSearch Object recognized! Type : RegValue Data : Rootkey : HKEY_LOCAL_MACHINE Object : SOFTWARE\Microsoft\Internet Explorer\Main Value : HOMEOldSP CoolWebSearch Object recognized! Type : RegValue Data : Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser Value : ITBarLayout

回答
ANo.92	＞その２つにチェックが入っている状態で ＞IE終了するとエラーが出ます。 ＞例の不正な処理を行ったので・・ってやつです。 マカフィの仕様なのかな？ 私の98機で試してみます。 ＞どれが怪しい奴か分かったら、また補足します。 d(-_☆)ラジャ
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/06/01 04:23
ログインして投票する 参考になった：0件
この回答へのお礼	IE終了時のエラーはないんですが、２つのチェックを外しても、しばらくするとまたaboutblankにもどってます。 この２つは違うのかな？

回答
ANo.91	無事にインストールできたようですね。 まずソフトをダブルクリックしてから、画面右下の「〜trial」というボタンを押します。 ソフトが立ちあがったら、画面右下の「start scaning（だったかな）」をクリックすれば、スキャンが始まります。 スキャンが終了したら、たしか右下に「next」ボタンが表示されるので、そのボタンを押して下さい。 後は画面を見れば分かると思います。 このソフトでいくつかファイルが削除された後、１度ブラウザを立ち上げてみて下さい。 ポップアップウィンドウが出ても、そのウィンドウの中には広告が表示されないようになっていると思います。 後は、私が以前お話した方法で駆除を行ってみて下さい。 これで、除去できるはずなので、あと少しがんばって下さいね。
回答者：Cuty_Cat
種類：回答 どんな人：経験者 自信：自信あり
回答日時： 04/05/31 21:19
ログインして投票する 参考になった：0件
この回答へのお礼	Continue Trialをクリックすると、画面が消えちゃいます。 立ち上がるのを待つのかな・・？ けど、全然気配なしです。(・・?

回答
ANo.90	インストール時にエラーが出てしまったようですね。 おそらくDL時にファイルが壊れてしまったかもしれないので、再度DLしてインストールを試みて下さい。 私と同じ症状だったので、このソフトがインストールできれば、問題は解決できるはずです。
回答者：Cuty_Cat
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/31 12:49
ログインして投票する 参考になった：0件
参考URL：	​http://trackzapper.com/track_buttom.html#dd​
この回答へのお礼	インストールできました。o(^▽^)o けど、どうやって使うのかよく分かりません。 英語ができないもので・・(^^ゞ

回答
ANo.89	補足ありがとうございます。 どれが、怪しいのか分かんないです。 で、絞り込んでみます。 Windowsのセーフモードから 「システム設定ユーティリティ」の 「スタートアップ」タブで すべてのチェックを外して セーフモードを終了して Windowsの通常モードで起動させてみてください。 これで正常でしょうか？
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/30 08:26
ログインして投票する 参考になった：0件
この回答への補足	結果です。 MaCfeeWebScan　C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe と MaCfeeWebScan　C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSEVICES とがあり、前者だけにチェックを入れても問題ないんですが、後者にチェックを入れ、再起動後にスタートアップを見ると、もう一つの　MaCfeeWebScan　が存在しています（チェック入っている状態で）。つまり、全部あわせて３つって事です。右に書いてある内容は前者のものと全く同じです。その２つにチェックが入っている状態でIE終了するとエラーが出ます。例の不正な処理を行ったので・・ってやつです。 説明がへたですみません。m(__)m 分かりづらいかな？？
この回答へのお礼	全部チェックを外すと正常に動くようです。と言う事はこの中が怪しいわけですね。 いろいろ試してみます。どれが怪しい奴か分かったら、また補足します。

回答
ANo.88	「Ad-aware 6」が何を検出したのか気になりますね。 スキャン終了後、「Show logfile」＞「Save」で適当なファイル名で保存します。 メモ帳で開くとスキャン結果が一覧表示されます。 その中で、「Cool Web Search」や「Browser Hijack」と書かれている行を探してください。 新しい情報があるかもしれません。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/30 06:12
ログインして投票する 参考になった：0件
この回答へのお礼	私には理解できませんが、いい情報になればと思います。 Started deep registry scan ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_LOCAL_MACHINE Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_USERS Object : .Default\Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank"

回答
ANo.87	No.83 >DirWDM.batを実行すると最後の方のDirWDM.txtのところでカタカタ 間違っておりました。 Notepad.exeにパスが通っていない。 パスを通すのは簡単ですがNotepad.exeはDOSプロンプトで実行できないと思います。 DOSプロンプトではEdlinというコマンドを使うんですが、これも、あまり意味がありません。 「Ctrl＋C」または「Ctrl＋Z」でバッチを強制終了させてください。 その後、通常モードで再起動してメモ帳でc:\DirWDM.txtを開いてください 前回の結果(No.72)と比較して違いが無ければ「Safe Mode」で実行した結果と同じになりますので、セーフモードでもいいということになります。 セーフモードでは前回同様正常に動くと思います。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/28 06:38
ログインして投票する 参考になった：0件
この回答へのお礼	DOSプロンプト起動したときは早すぎて、何て書いているのやら・・って感じです。すみません。 セーフモードで試した結果ですが、 BHO削除後と削除前での違いは空きが違うだけのようです。 と、補足です。 Ad-awereで引っかかる奴は２種類です。 Cool Web Search Possible Browser Hijack attempt の２つです。

回答
ANo.86	１つ下記のソフトを試してみて下さい。 そう言えば、私はこのソフトを使用してから、該当ファイルを削除しました。 恐らくこのソフトを使用して、スパイウェア本体を削除できたのかもしれません。 ​http://trackzapper.com/​ このサイトにある「TZ Spyware-Adware Remover」と言うソフトです。 トライアル版でも、検索ができスパイウェアの削除ができるようです。 ​http://trackzapper.com/track_buttom.html#dd​ このソフトの使い方については、ソフトを立ち上げれば分かると思います。 たしか「scan」と言うボタンを押して、いくつか怪しいファイルが検出されるので、そのまま「next」ボタンを押せば良かったと思います。 とりあえず、このソフトを試してみて下さい。 これで、スパイウェアの本体は削除できると思います。（たぶん…(^^;）
回答者：Cuty_Cat
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/28 05:16
ログインして投票する 参考になった：0件
参考URL：	​http://trackzapper.com/track_buttom.html#dd​
この回答へのお礼	ありがとうございます。 txsar.exeをダウンロードしました。けど、エラーがでてうまくいかないです。 The setup files are corrupted. Please obtain a new copy of the program. というエラーです。どう言う意味だろ？？(・・?

回答
ANo.85	「システム設定ユーティリティ」の 「スタートアップ項目を読み込む」のチェックを 外すと正常に動く （ANo.#60のお礼を参照） というのに固執しちゃうんですが プログラムが起動し、レジストリの スタートップ項目を削除して、 windows終了時に書込みするタイプだとすると Windowsの通常起動後にレジストリを見るから 存在しないのかもしれません。 Windowsをセーフモードで起動させて レジストリを覗けば、いいかも。 レジストリの マイコンピュータ　 　＋HKEY_CURRENT_USER 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Policies 　　　　　　　＋Explorer 　　　　　　　　＋Run ←この中 　　　　　　＋Run ←この中 　　　　　　＋RunOnce ←この中 　　　　　　＋RunService ←この中 　　　　　　＋RunServiceOnece ←この中 それと、 マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Policies 　　　　　　　＋Explorer 　　　　　　　　＋Run ←この中 　　　　　　＋Run ←この中 　　　　　　＋RunOnce ←この中 　　　　　　＋RunOnceEx　←この中 　　　　　　＋RunService ←この中 　　　　　　＋RunServiceOnece ←この中 　　　　　　＋ShellServiceObjectDelayLoad ←この中 です。 あと、ウイルス駆除ソフトの会社によっては ウイルスとして検出してくれるのもあるので、 インストールしているマカフィ君以外の 会社のオンライン検索をしてみてもいいかもしれません。 それと、オンラインでスパイウェアの検索をしてくれる サイトがあります。 ​http://www.spywareguide.com/index.php​ ここの「Online spyware Scan」です。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/28 04:11
ログインして投票する 参考になった：0件
参考URL：	​http://www.trendmicro.co.jp/hcall/index.asp​,  ​http://www.symantec.com/region/jp/securitycheck/​
この回答へのお礼	素人ながらもそこがキーになってそうと思います。 ＋HKEY_CURRENT_USER 　+run msnmsgr ""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background" 　+RunOnce は空です。 ＋HKEY_LOCAL_MACHINE 　+Run ↓これ AvconsoleEXE "C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize" internat.exe "internat.exe" LoadBtnHnd "C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe" LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" LoadQM "loadqm.exe" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe" ScanRegistry "c:\windows\scanregw.exe /autorun" SystemTray "SysTray.Exe" TaskMonitor "c:\windows\taskmon.exe" TkBellExe ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" VsStatEXE "C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING" 　＋RunOnce ＋RunOnceEx　は空です 　＋RunService LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" Machine Debug Manager "C:\WINDOWS\SYSTEM\MDM.EXE" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES" SchedulingAgent "mstask.exe" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" これら以外のキーは存在しません。

回答
ANo.84	レジストリの マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋RunServicesOnce ここはどうでしょうか？
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/27 12:21
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 そこは空っぽです。

回答
ANo.83	>DOSプロンプトっていうのはセーフモードのことでいいんでしょうか？ 非常に重要なご質問です。これからも解らないことは、ご遠慮無く・・・ といっても、何でも知っているわけではありませんが。 DOSプロンプトには大別して2種類があります。 ☆Windowsの一部としてのDOSプロンプト 　Windowsが起動された状態で、Windowsの一部としてDOSプロンプトを呼び出す。 　これについは下記を参照ください。 　​http://www.confrage.com/dos/​ ☆Windowsを起動させずにDOSプロンプトを呼び出す。 　セーフモードを呼び出す過程で、メニューが表示されます。 　Safe Modeを選択するとセーフモードで起動され、 　Command Prompt Onlyを選択するとDOSプロンプト画面になります。 ☆Windows 9x/Me をセーフモードで起動する方法 ​http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/...​ ☆フロッピー起動 　そのほかに起動用のフロッピーを使ってDOSプロンプトで起動する方法もあります。 　起動ディスク（Win98/Win95） 　​http://support.microsoft.com/default.aspx?scid=kb;ja;259066​ ☆なぜ、セーフモード 　セーフモードではWindowsの最小の機能しかメモリーに読み込まれません。 　たとえば、通常モードで起動されているときにファイルを削除しようとすると、「使用中のためファイルを削除できません」という種類のエラーが表示されてファイルを削除できないことがよくあります。 　こんなときセーフモードで再起動すると通常モードでは削除できないプログラムを削除できるようになります。 ☆なぜ、Command Prompt Only? 　Wininit.iniファイルがいつ実行されるのか? 　セーフモードで起動しただけで、実行されるのかどうか? 　私には解りません。 　確実を期するためCommand Prompt Onlyで起動することをお勧めしています。 　今までの操作で、セーフモードが使われていたのであればその方法でもいいと思います。 　全ては、どんな結果が得られるかにかかっています。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/27 09:03
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 DOSプロンプト画面って真っ暗の画面ですよね。 そこで、DirWDM.batを実行すると最後の方のDirWDM.txtのところでカタカタって動いているんですけどそれ以上進まなくなります。そのまま放っておくべきですか？

回答
ANo.82	私も同じ「Search for」に苦しんでいましたが、先ほど自力で除去することができました。 その方法を下記の記事に書いておきましたので、ご覧になってみてください。 おそらく、これで完全に除去できるはずです。 ​http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865​ 上手く除去できれば嬉しく思います。
回答者：Cuty_Cat
種類：回答 どんな人：経験者 自信：自信あり
回答日時： 04/05/27 08:46
ログインして投票する 参考になった：0件
参考URL：	​http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865​
この回答へのお礼	ありがとうございます。 消しても消しても新たなDLLファイルが出てきちゃうんです。 Cuty_Catさんのものとは違う種類なのかな？それとも複数のウイルスに感染しているからかな・・？

回答
ANo.81	＞とりあえずhidserv.exeのバージョンです それ、問題ないようです。 USBキーボードを使用している環境にあるようです。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/27 07:13
ログインして投票する 参考になった：0件
この回答へのお礼	この回答にお礼をつける(質問者のみ)

回答
ANo.80	>アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。 どんなエラーでしょうか? kernel32.dllでGoogle検索すると沢山表示されます。 しかし、これは、Windows98ユーザーで無いとわかりません。 >WININIT INI 206 04-05-26 2:10 Wininit.ini >WININIT PIF 967 04-05-24 21:54 WININIT.PIF >WININIT BAK 76 04-05-23 22:13 WININIT.BAK 通常、WININIT.BAKはWININIT.INIのバックアップですから、サイズがまったく違うというのはおかしいと思います。 その上WININIT.BAKのほうが、日付が古いというのは奇奇怪怪。 「.INI」が親とすると「.BAK」はその子供です。 子供の誕生日の方が、親の誕生日より古いなんて信じられますか? >04-05-26 2:10 この時間、貴方が何をされたかを思い出してください。 多分、パソコンの電源を切る直前の時間では無かったかと思います。 ☆推測できること・・・ １．「VirusX」は、BHOの名前を記憶している。 ２．ユーザーは「HijackThis」等でBHO設定を削除して正常な表示に戻す。 ３．パソコン終了時、ウィルスXがBHOの状態を調べる。 ４．BHO設定が削除されているのがわかると「VirusX」は新しいWININIT.INIを生成する。 ５．次回パソコン起動時にWININIT.INIが実行され、新しいBHOを設定する。 ６．WININIT.INIは実行後、自動的にWININIT.BAKを残して消滅する。 パソコンの終了前の一瞬にWININIT.INIが生成され、次回、Windows起動前の一瞬にININIT.INIが実行されていると思います。 ☆コンピューターを再起動 この仕組みは決して珍しくも何ともありません。 アプリケーションをインストールしたときに、コンピューターを再起動してください、という表示がよく出ますね。 アプリケーションのインストーラーは、Windows起動後では設定出来ない事項を、パソコンの再起動後、Windowsが起動される前にハードディスクに書き込んでアプリケーションを実行できるようにすることがよくあるのです。 ☆Wininit.exe WindowsにはWininit.exeという正規のプログラムがあります。 WindowsフォルダにWININIT.INIを見つけると、Windowsの起動前にWininit.exeが起動され、WININIT.INIに書き込まれた命令を実行します。 作業が終わるとWININIT.INIはWININIT.BAKを残して自動的に消滅する。 NUL=C:\WINDOWS\TEMP\GLB1A2B.EXEのように使用済みのファイルを削除する。 これで、WININIT.INIは二度と実行されませんし、不要なファイルは削除されます。 今回のウィルスでは、この仕組みが悪用されていると推定しています。 実験1. 「HijackThis」で調べると新しいBHOが作成されていると思います。 現在の状態でパソコンを再起動し、DOSプロンプトでDirWDM.batを実行して見てください。 WININIT.INI（04-05-26 2:10)は実行されたあとでしょうから、多分、WININIT.INIは現れないと思います。 実験2. 「HijackThis」でBHOを削除した後、パソコンをDOSプロンプトで再起動し、DirWDM.batを実行してください。 WININIT.INIを確認できたら下記のバッチを実行してみてください。 WININIT.INIに何が書かれているかがわかれば面白いと思います。 :〜〜〜〜〜〜TypeWIni.batはじめ〜〜〜〜〜〜〜 c: cd\windows echo *** WININIT.INI 詳細 %date% %time% *** > c:\wininit.txt echo\ >> c:\wininit.txt type c:\windows\WININIT.ini >>c:\wininit.txt attrib c:\windows\WININIT.ini >>c:\wininit.txt echo\ >> c:\wininit.txt echo *** WININIT.PIF 詳細 %date% %time% *** >> c:\wininit.txt echo\ >> c:\wininit.txt type c:\windows\WININIT.PIF >>c:\wininit.txt attrib c:\windows\WININIT.PIF >>c:\wininit.txt Notepad.exe c:\wininit.txt exit :〜〜〜〜〜〜TypeWIni.bat終わり〜〜〜〜〜〜〜
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/26 22:53
ログインして投票する 参考になった：0件
この回答へのお礼	どうもです。 不正な処理を行ったので・・・。っていうエラーです。 >04-05-26 2:10 この時間は多分再起動した時間かと思います。なのでオンの時かオフの時かはちょっと・・・。 すごくバカな質問ですが、DOSプロンプトっていうのはセーフモードのことでいいんでしょうか？

回答
ANo.79	(*^o^*)オ (*^O^*)ハー ＞"Hidserv.exe run"は消すべきなんですか？ 「システム設定ユーティリティ」の 「スタートアップグループの項目を読み込む」の チェックを外してWindowsを再起動させて マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋RunServices ここの 名前＿＿＿データ Hidserv "Hidserv.exe run" ↑ 右クリック→「削除」をクリックして 「システム設定ユーティリティ」の 「スタートアップグループの項目を読み込む」の チェックを入れてWindowsを再起動します。 それと、Hidserv.exe　を探し出して このプログラムのバージョン情報を 補足してください。（製造元とか）
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/26 06:27
ログインして投票する 参考になった：0件
この回答へのお礼	とりあえずhidserv.exeのバージョンです 会社名 Microsoft Corporation 言語 英語 (U.S.) 正式ファイル名 HIDSERV.EXE 製品バージョン 4.10.2222 製品名 Microsoft(R) Windows(R) Operating System 内部名 hidserv

回答
ANo.78	ANo.#72の補足なんですが、 それって、 レジストリの マイコンピュータ　 　＋HKEY_CURRENT_USER 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Run ←この中 それと、 マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Run のことでしょ？ これは、 「システム設定ユーティリティ」の 「スタートアップ」タブで確認したからいいんですよ。
回答者：ittochan
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/26 00:37
ログインして投票する 参考になった：0件
この回答へのお礼	はっ、そうでしたか。 "Hidserv.exe run"は消すべきなんですか？

回答
ANo.77	「スタートアップグループの項目を読み込む」の チェックを外してWindowsを起動させてから ANo.#76を実施してみてください。 そのほうが安全かもしれません。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/26 00:28
ログインして投票する 参考になった：0件
この回答へのお礼	ややこしくなってすみません。 No.73は行ったほうがいいんですか？

回答
ANo.76	＞マイコンピュータ　 ＞HKCU\..\RunOnce は特に問題なさそうです。 ＞HKCU\..\runservice は存在しないです。 ＞HKLM\..\RunOnce　↓です。 ＞Hidserv "Hidserv.exe run" RunOnceキーは 通常でしたら Windows起動後、登録されているプログラムが正常終了したら登録が抹消されるんです。 悪質なプログラムの中には 実行するたびにこのキーに自己登録してしまいます。 「システム設定ユーティリティ」で 「スタートアップ項目」を読み込まない状態で ホームページが正常なのですから、 もしかしたら、これかもしれません。 レジストリの マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋RunOnce　←この中の 名前＿＿＿＿＿データ Hidserv　　"Hidserv.exe run" ↑ を右クリック→「削除」をクリックして Windowsを再起動させてみてください。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/26 00:24
ログインして投票する 参考になった：1件
この回答へのお礼	ごめんなさい。 また、訂正です。m(__)m RunOnceの中身ではなく、RunServicesの中のものでした。 すみません。ちょっとパニくってます。(^^ゞ

回答
ANo.75	セーフモードで起動して レジストリから CLSIDの {8B7B79C1-AA8F-11D8-B660-009002A627F8} を削除すれば、 CHGB.DLL は動けなくなると思います。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/25 23:42
ログインして投票する 参考になった：0件
この回答へのお礼	この回答にお礼をつける(質問者のみ)

回答
ANo.74	あっ違う。 heta2ちゃんへの補足を私のに書いたんですね。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/25 23:33
ログインして投票する 参考になった：0件
この回答へのお礼	ごめんなさい。 結果的にそうなりました。(^^ゞ

回答
ANo.73	あれ？ 「スタートアップ」タブの ＞*FO-syst>m.ini:Shell= ＞*FO-R□□　>ystem.ini:Shell>= ＞*FO-R□□　>ystem.ini:UseInit= ＞*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL ＞*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX これかも。 最初の３つは win.iniとsystem.iniみたいですね。 MSDXM.OCXって Internet Explorerのコンポーネントの１つなんですが、これ書き換えられているかも。 これらのチェックを外して Windowsを再起動させてみて。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/25 23:29
ログインして投票する 参考になった：0件
この回答へのお礼	ごめんなさい。m(__)m 勘違いしていました。(^^ゞ 間違えてhijuckthisのlogを出しちゃいました。 msnmsgr _ "C\PROGRAM FILES\MSN MESSENGER\MSMSGER.EXE"/background McAfeeWebScanX _ C\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe internat.exe _ internat.exe ScanRegistry _ c:\windows\scanregw.exe/autorun TaskMonitor _ c:\windows\taskmon.exe SystemTray _ SysTray.Exe LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentpwrScheme AvconsoleEXE _ C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe/minimize VsStatEXE _ C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE/SHOWWARING LoadQM _ loadqm.exe Vshwin32EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MACAFEE VIRUSSCAN\VSHWIN32.EXE TkBellExe _ "C:\Program Files\Real\update_OB\realsched.exe"-osboot McafeeWebScanX _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSERVUCES Machine Debug Manager _ C:\WINOWS\SYSTEM\MDM.EXE Hidserv _ Hidserv.exe run LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Vshwin32.EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE SchedulingAgent _ mstask.exe FM便利ツール _ C:\PROGRA~1\FUJITSU\AUV\AUVCORE.EXE Microsoft Office StartUp _ C:\PROGRA~1MICROS~1\OFFICE\OSA9.EXE hatchinsaide.exe _ C:\PROGRA~1DI\HATCHI~1\HATCHI~1.EXE WordLinker _ C\PROGRA~1\ZENRIN\EMAPZ2\WORDLI~1\SS_LIN~1.EXE

回答
ANo.72	それと、レジストリの マイコンピュータ　 　＋HKEY_CURRENT_USER 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Policies 　　　　　　　＋Explorer 　　　　　　　　＋Run ←この中 と、 マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋Policies 　　　　　　　＋Explorer 　　　　　　　　＋Run ←この中 もね。
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/25 10:59
ログインして投票する 参考になった：0件
この回答へのお礼	HKCU\..\Run msnmsgr　""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background" HKLM\..\Run AvconsoleEXE　"C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize" internat.exe　"internat.exe" LoadBtnHnd　"C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe" LoadPowerProfile　"Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" LoadQM　"loadqm.exe" McAfeeWebScanX　"C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe" ScanRegistry　"c:\windows\scanregw.exe /autorun" SystemTray　"SysTray.Exe" TaskMonitor　"c:\windows\taskmon.exe" TkBellExe　""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" Vshwin32EXE　"C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" VsStatEXE　"C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING"

回答
ANo.71	No.69 １．WININIT.EXE 　WININIT.INIを実行するためのプログラムです。 　バイナリーファイルですから、バイナリーエディターを使わないと正常に表示できません。 　これは文字化けではありません。 　マイクロソフトの正規のファイルではないかと思います。 　プロパティを調べてください。 　WININIT.sav　WININIT.000については私には解りません。 　WININIT.EXE、WININIT.INIともに通常のアプリケーションソフトのインストールに使われることがあります。 　WININIT.EXEという名のファイルが悪用される例があるようですが、動作がまったく違うので、今回の件には関係ないと思います。 　 ２．「Ad-aware 6」で除去できるという情報があります。 　最新のデータにアップデートして試してください。 　この種のウィルスではWindowsが起動された状態では修復できないことがあります。 　スキャン実行後、パソコンを再起動したときに、Windows起動前に「Ad-aware 6」が起動されて修復作業が実行されます。 　 ３．バッチファイル手直ししました。 　必ずDOSプロンプトで実行してください。 :〜〜〜〜〜〜DirWDM.batはじめ〜〜〜〜〜〜〜 C: echo *** WDM.*詳細 %date%%time% *** > c:\DirWDM.txt echo\ >> c:\DirWDM.txt cd \WINDOWS\SYSTEM\ dir WDM.* >> c:\DirWDM.txt attrib WDM.* >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt echo *** GLB1A2B.* 詳細 %date%%time% *** >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt cd \WINDOWS\TEMP\ dir GLB1A2B.* >> c:\DirWDM.txt attrib GLB1A2B.* >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt echo *** WININIT.*詳細 %date%%time% *** >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt cd\ dir WININIT.* /s >> c:\DirWDM.txt Notepad.exe c:\DirWDM.txt exit :〜〜〜〜〜〜DirWDM.bat終わり〜〜〜〜〜〜〜
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/25 09:35
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。 以前、kernel32.dllが毎回CWShredderで引っかかるといっていましたが、Ad-awereで引っかかるものでした。 すみません。m(__)m *** WDM.*詳細 *** ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS\SYSTEM WDM DLL 57,344 04-05-05 0:19 wdm.dll 1 個 57,344 バイトのファイルがあります. 0 ディレクトリ 8,590.28 メガバイトの空きがあります. A WDM.DLL C:\WINDOWS\SYSTEM\wdm.dll *** GLB1A2B.* 詳細 *** ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS\TEMP 8,590.28 メガバイトの空きがあります. *** WININIT.*詳細 *** ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS WININIT BAK 76 04-05-23 22:13 WININIT.BAK WININIT PIF 967 04-05-24 21:54 WININIT.PIF WININIT EXE 42,021 99-05-05 22:22 WININIT.EXE WININIT SAV 8,942 04-02-15 10:28 WININIT.SAV WININIT 000 87 04-05-19 0:36 wininit.000 WININIT INI 206 04-05-26 2:10 Wininit.ini 6 個 52,299 バイトのファイルがあります. 一覧のファイル総数: 6 個 52,299 バイトのファイルがあります. 0 ディレクトリ 8,590.28 メガバイトの空きがあります.

回答
ANo.70	＞「スタートアップグループの項目を読み込む」の ＞チェックだけをはずしたときも ＞正常に動いているようでした。 「システム設定ユーティリティ」の「スタートアップ」は正常のようです。 となると、 レジストリの マイコンピュータ　 　＋HKEY_CURRENT_USER 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋RunOnce ←この中か 　　　　　　＋runservice ←この中か それと、 マイコンピュータ　 　＋HKEY_LOCAL_MACHINE 　　＋Software 　　　＋Microsoft 　　　　＋Windows 　　　　　＋CurrentVersion 　　　　　　＋RunOnce　←この中か 　　　　　　＋RunOnceEx　←この中 　　　　　　＋runservice ←この中を 調べてみてください。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/25 06:37
ログインして投票する 参考になった：0件
この回答へのお礼	マイコンピュータ　 HKCU\..\RunOnce は特に問題なさそうです。 HKCU\..\runservice は存在しないです。 HKLM\..\RunOnce　↓です。 Hidserv "Hidserv.exe run" LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" Machine Debug Manager　"C:\WINDOWS\SYSTEM\MDM.EXE" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES" SchedulingAgent "mstask.exe" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" HKLM\..\RunOnceEx　 は問題ないようです。 HKLM\..\runservice は存在しないです。

回答
ANo.69	No.67のご回答 >1.WININIT.BAKはあります。削除して良いんですか？ ご存知のように、WININIT.BAKはININIT.INIのバックアップファイルです。 そのままでも、危害は無いと思います。 上記、ご回答をみて気が付いたんですが、このファイルに重要な手がかりがあるかもしれません。 メモ帳で開いて、中身を貼り付けていただけませんか? 参考 ​http://homepage2.nifty.com/DSS/WinSys/Win/Wininit.htm​ WININIT.INIはリブート時にファイルの置き換えをおこなう為の設定ファイルである． NUL = にするとそのファイルを削除する． 置き換えが成功すると WININIT.INI は WININIT.BAK になる． WININIT.EXE は Windows が起動する前に実行される >3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。 killboxをあまりあてにしないでください。 killboxはWindows起動後に動作する。 ということは、WININIT.INIによるファイル操作が終わってからしか使えない。 「あとの祭り」という奴です。 セーフモードのDOSプロンプト画面を呼び出して、WININIT.INIが起動される前の状態でのファイル操作が必要と思います。 >5.セーフモードでも見つかりませんでした。 No.56のDirDLL3.batで表示されるにもかかわらずセーフモードで見つからないというのが私には理解できません。 >WDM.DLL　2ae60000 131072　C:\WINDOWS\SYSTEM\WDM.DLL ☆セーフモードのDOSプロンプト画面 パソコン再起動直後「F8」キーを連打 黒い画面が表示され、DOSプロンプトという項目が表示されます。 DOSプロンプト画面では、Windowsの機能は一切使えません。 BATファイルは使用できます。 下記のバッチ実行して結果貼り付けてみてください。 〜〜〜〜〜〜DirWDM.batはじめ〜〜〜〜〜〜〜 C: cd \WINDOWS\SYSTEM\ echo WDM.DLL詳細 %date%%time%> c:\DirWDM.txt dir WDM.DLL >> c:\DirWDM.txt attrib WDM.DLL >> c:\DirWDM.txt Notepad.exe c:\DirDWDM.txt exit :〜〜〜〜〜〜DirWDM.bat終わり〜〜〜〜〜〜〜
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/24 08:56
ログインして投票する 参考になった：0件
この回答への補足	DirDWDM.txtは真っ白でした。
この回答へのお礼	ありがとうございます。 WININIT.EXE　WININIT.sav　WININIT.000がありました。これらは関係ないですか？ WININIT.BAK の中身です。 [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE WININIT.000の中身 [rename] NUL=c:\windows\cookies\既定@cgi-bin[2].txt NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE WININIT.EXE　はいっぱい文字化けしています。 WININIT.sav　は何かのファイルがたくさん書いてあります。

回答
ANo.68	「HijackThis」ログ *02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL これが「about:blank」を表示していることには間違いないんですが、消しても、すぐ別名で復活するのでは意味がありません。 *016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)- *016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)- あまり見ない設定です。 MSJVM（JavaVitualMchine)の脆弱性を付いたウィルスが流行した時期がありますので、それに関連しているかもしれません。 削除されては如何でしょう。 「Fix」した項目の復元方法 １．「HijackThis」画面右下の「Config」をクリック ２．「Backups」をクリック ３．バックアップリストから該当する行を選択して右側の「Restore」をクリック。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/23 07:55
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 消してみましたがとりあえず問題なしです。

回答
ANo.67	StartupListで気になるもの １．GLB1A2B.EXE 　C:\WINDOWS\WININIT.BAK listing: 　(Created 19/5/2004, 1:23:36) 　[rename] 　NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE 　 　蒸し返しになりますが、このファイルを探しも見つからない? 　実行後、WININIT.INIとともにこのファイルが削除された。 　しかし、WININIT.BAKの削除を忘れたということだと思います。 　​http://homepage2.nifty.com/DSS/WinSys/Win/Wininit.htm​ ２．DOS4G=QUIET 　C:\AUTOEXEC.BAT listing: 　SET DOS4G=QUIET 　 　これは滅多に出てこない設定です。 　なぜこんなものがあるのか、私には解りません。 　C:\AUTOEXEC.BATを開いて、SET DOS4G=QUIETの左に「rem」または「：」(コロン)と書くと、この設定行を無効に出来ます。 　 ３．NCG.DLL 　Enumerating Browser Helper Objects: 　(no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7} 　新しいBHOが設定されています。 　WDM.DLLを削除できない限り解決の方法が無いようです。 ４．もしかして・・・ 　運のいいことに、唯一の自己解決者、basser_no1さん、korotekeさん、そして私が偶然、マカフィーのAV（AntiVirus）ソフトを使っていることです。 　一度、マカフィーのヒューリスティックスキャンを試してみてください。 　ただし、私の場合、文字化け障害のため通常のメニューでなくアイコンメニューでの操作になりますのであしからず。 　 　AAA.マカフィーのアイコンをクリック 　BBB.「VirusScan」＞「オプション」 　CCC.ActiveVsheild画面の「詳細設定」をクリック 　DDD.「新しいウィルスと未知のウィルスをスキャン」にチェックを入れる。 　EEE.「OK」「OK」でオプション画面を閉じる 　 　以上の設定で、Cドライブをスキャンしてみてください。 　 ５．残された手段 　セーフモードの選択画面でDOSプロンプトを選択。 　DOS画面で下記ファイルを探し出して削除するくらいしか思い当たりません。 　C:\WINDOWS\TEMP\GLB1A2B.EXE 　C:\WINDOWS\SYSTEM\WDM.DLL 　 　それでも駄目なら、私は、すごすごと退場＝敗北です。 　Windowsの奥の奥で何かが設定されているとしか考えられません。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/23 07:54
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 1.WININIT.BAKはあります。削除して良いんですか？ 2.無効にしました。とりあえず、問題ないようです。 3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。 4.ヒューリスティックスキャンでも検出できませんでした。 5.セーフモードでも見つかりませんでした。 ん〜、諦めてOS再インストールすべきなのかな・・？

回答
ANo.66	＞正常に動いてました。 ＞エラーも出ませんでした。o(^▽^)o という表現があちこちにありますので、一応解決したものと思っていました。 ひょっとすると未解決でしょうか。 取り敢えず、補足情報についてのコメント書き込んでおきます。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.54 補足の件 >CWShredder　でやっぱり引っかかります。一時的なものだったのかな？ >まだ、about:blankのままです。 >WDM.DLL　2ae60000 131072　C:\WINDOWS\SYSTEM\WDM.DLL >4月以降のファイルは　NCG.DLL　と　WDM.DLLです。 新しいファイルが出てきましたね。 それぞれの日付を調べてください。 WDM.DLLの日付が新しければ、一旦削除された後、同名で再登場ということに。 この場合、第3のファイルの存在を疑うことになります。 矢張り、KERNEL32.DLLでしょうか? 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.56 補足の件 >CWShredder　で引っかかるファイルなんですけど、 >とりあえず、覚えいているのは　KERNEL32.DLL　です。 このファイルは文字通りWindowsの核となるファイルです。 このファイルが無いとWindowsを起動できないはずです。 Running processesでも先ず一番に表示されます。 C:\WINDOWS\SYSTEM\KERNEL32.DLL 考えられることは １．非常によく似た名前のファイル ２．他のフォルダにある同名のファイル ３．正規のファイルの末尾に悪意のあるコードを追加されている 　DOSモードで起動して、一旦削除しWindowsを上書きインストールすればいいかもしれませんが、非常に危険なので、お勧めできません。 　またAV（AntiVirus）ソフトがインストールされているので、もし、このファイルが汚染されていればブロックされていると思います。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.58 補足の件 >「HijackThis」で「savelog」→「保存」をすると、 >INSTALL.LOGファイルがオープンしませんとなります。 日本語のエラー表示であれば、システムから出ていると思います。 ウィルスが「HijackThis」を書き換えているのかもしれません。 例えば上のコマンドを実行しようとするとNotePad.exeをアンインストールさせる。 しかし、NotePad.exeには、INSTALL.LOGファイルが無いのでシステムエラーになる。 ただし、これは私の推定です。プロが聞くと大笑いするかもしれません。 「HijackThis」フォルダを一旦削除して再インストールすると直るかもしれません。 hijackthis.zipを解凍して「HijackThis.exe」を適当なフォルダに保存するだけでいいはずです。 最新バージョン（v1.97.6)を確認しておいてください。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.59 補足の件 >02-BHO（no name)のところに新しいやつは出てきてません。 >それだけでは説明不足かな？ IEを起動すると、また現れると思います。 現にStartupListに出ています。 Enumerating Browser Helper Objects: (no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7} NCG.DLLファイルを削除、レジストリから削除してもまた別の名前のものが現れます。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/23 07:50
ログインして投票する 参考になった：0件
この回答へのお礼	ごめんなさい。m(__)m ややこしい表現をしてしまいまして。 まだ未解決です。(”ゞ KERNEL32.DLLに似たような奴だったのかな？それとも私の勘違い？？？

回答
ANo.65	どうも私の症状と同じようなので… 私もアドレスが "about:blank"で、"Search for"と書かれたページが表示されていました。そしてスパイウェアの警告のウィンドウが開いていたのですが、こちらの回答を参考にさせて頂いたら解決できました。ちなみにＷｉｎｄｏｗｓ９８です。 C:\WINDOWS\SYSTEM\GAMEBE.DLL こんなファイルはありませんか？　私はHijackThisを使って見つけました。ログを見させてもらった限りでは無いようなのですが、私の場合はこのファイルを削除することで解決できましたので、参考までにお教えしておきます。
回答者：fasnol
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/23 02:44
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 ん〜、どうやらGAMEBE.DLLファイルは存在しないようです。 残念です・・・。（／。＼）

回答
ANo.64	＞{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む ＞レジストリはいくつかあるようです。関係ないかな？ レジストリの マイコンピュータ 　＋HKEY_CLASSES_ROOT 　　＋CLSID 　　　＋{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 　　　　＋InProcServer32 ←クリック 右ウィンドウの 名前＿＿＿種類＿＿＿＿データ (標準)　REG_SZ　　c:\windows\System\webcheck.dll ってなってて この webcheck.dllの製造元が Microsoftなら問題ないと思います
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/21 23:56
ログインして投票する 参考になった：0件
この回答への補足	これで全部です。 *016-DPF:{8FBFE5FF-5E98-11D3-80AF-00C04FCBC72}(SurveyCtl35 Class)-​http://activex.microsoft.com/contorols.mtswizards/sw35.cab​ *016-DPF:{D27CDB6E-AE6D-11CF96B8-44553540000}(Shockwave Flash Object)-​http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab​ *016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)- *016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)- *016-DPF:{2B323CD9-50E3-11D3-9466-00A0C9700498}(Yahoo! Audio Conferencing)-​http://cs.chat.yahoo.co.jp/v45/yacscom.cab​ *016-DPF:Yahoo! Chat JP 2-​http://cs.chat.yahoo.co.jp/c302/chat.cab​ *016-DPF:{9F1C11AA-197B-4942-BA54-47A8489BB47F}(Update Class)-​http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020....​ *016-DPF:{E504EE6E-47C6-11D5-B8AB-00D0B78FD48}(Yahoo! Webcam Viewer Wrapper)-​http://chat.yahoo.co.jp/cab/yvwrctl.cab​ *016-DPF:{C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE}(Symantec RuFSI Registry Information Class)-​http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab​ *016-DPF:{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}(Symantec AntiVirus scanner)-​http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab​ *018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
この回答へのお礼	ありがとうございます。 種類の列が元々ないのですが、(標準)　ｃ:\windows\System\webcheck.dllとなってます。 製造元はMictosoftでした。 下の補足の続きです。 *04-HKLM\..\RunServices:[McAfeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe/RUNSERVICES *04-HKLM\..\RunServices:[Mchine Debug Manager]C:/WINDOWS/SYSTEM/MDM.EXE *04-HKLM\..\RunServices:[Hidserv]Hidserv.exe run *04-HKLM\..\RunServices:[LoadPowerProfiles]Rundll32.exe powprof.dll,LoadCurrentPwrScheme *04-HKLM\..\RunServices:[Vshwin32EXE]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE *04-HKLM\..\RunServices:[SchedulingAgent]mstask.exe *04-HKCU\..\Run:[msnmsgr]"C:/PROGRAM FILES/MSN MESSENGER/MSNMSGR.EXE"/background *04-Startup:FM・□□□□[□.lnk=C:/Program Files/Fujitsu/AUV/AUVCore.exe *04-Startup:Microsoft Office.lnk=C:/Program Files/Microsoft Office/Office/OSA9.EXE *04-Startup:hatchinside.exelnk=C:Program Files/HatchInside/hatchinside.exe *04-Startup:WordLinker.lnk=C:/Program Files/ZENRIN/EmapZ2/WordLinker/SS_Linker.exe *09-Extra button:RealGuide(HKLM)

回答
ANo.63	＞{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む ＞レジストリはいくつかあるようです。関係ないかな？ どこにあるか補足してね。 ＞「スタートアップグループの項目を読み込む」の ＞チェックだけをはずしたときも ＞正常に動いているようでした となると システム設定ユーティリティの 「スタートアップ」タブの中に 怪しいのがあることになります。 ここの一覧を補足していただけませんか？
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/21 23:37
ログインして投票する 参考になった：0件
この回答への補足	*FO-syst>m.ini:Shell= *FO-R□□　>ystem.ini:Shell>= *FO-R□□　>ystem.ini:UseInit= *02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL *03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX *04-HKLM\..\Run:[McafeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe *04-HKLM\..\Run:[internat]unternat.exe *04-HKLM\..\Run:[ScanRegistry]c:/windows/scanregw.exe/autorun *04-HKLM\..\Run:[TaskMonitor]c:/windows/taskmon.exe *04-HKLM\..\Run:[SystemTray]Systray.Exe *04-HKLM\..\Run:[LoadPowerProfile]Rundll32.exe powprof.dll,LoadCurrentPwrscheme *04-HKLM\..\Run:[LoadBtnHnd]C:/Program Files/Common Files/Fujitsu Shared/Btnhnd.exe *04-HKLM\..\Run:[AvconsoleEXE]C:/Program Files/Network Associates/McAfee VirusScan/avconsol.exe/minimize *04-HKLM\..\Run:[VsStatEXE]CProgram Files/Network Associates/McAfee VirusScan/VSSTAT.EXE/SHOWWARNING *04-HKLM\..\Run:[LoadOM]loadam.exe *04-HKLM\..\Run:[Vshwin32EXE]C:PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE *04-HKLM\..\Run:[TkBellExe]"C:Program Files/Common Files/Real/Update_OB/realshed.exe"-osboot
この回答へのお礼	ありがとうございます。 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　(標準)"webchek" HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　(標準)"webchek" HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\ClsidFeature　{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　"{3af36230-a269-11d1-b5bf-0000f8051515}!6,0,2800,1106" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved　{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　"webchek" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 　webchek　"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

回答
ANo.62	＞WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" ＞というのがあります。 それだけなら、そこは正常です。 ＞正常に動いてました。 ＞エラーも出ませんでした。o(^▽^)o 標準の起動でも正常なら直ってますが、 標準の起動で駄目なら 「システム設定ユーティリティ」の「全般」タブで 「起動オプションを選択する」を選択します。 「スタートアップグループの項目を読み込む」 のチェックだけを外してみてください。 これで再起動されたWindowsで 「Webの設定のリセット」はどうでしょうか？ 確認後、 「標準の起動」でWindowsを再起動させてね。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/21 02:26
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 {E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含むレジストリはいくつかあるようです。関係ないかな？ 「スタートアップグループの項目を読み込む」のチェックだけをはずしたときも正常に動いているようでした。

回答
ANo.61	レジストリの HKEY_LOCAL_MACHINE 　＋SOFTWARE 　　＋Microsoft 　　　＋Windows 　　　　＋CurrentVersion 　　　　　＋ShellServiceObjectDelayLoad ←クリック 右側のウィンドウに WebCheck以外に何か登録されていませんか？
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/20 04:53
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" というのがあります。

回答
ANo.60	＞とりあえず、正常に動くようです。 ＞IE終了時に出るエラーもでないです。 ('◇')ゞラジャ では、 「システム設定ユーティリティ」の「全般」タブで 「起動オプションを選択する」を選択します。 「SYSTEM.INIファイルを処理する」 「WIN.INIファイルを処理する」 「スタートアップグループの項目を読み込む」 のチェックを外してみてください。 これで再起動されたWindowsで 「Webの設定のリセット」はどうでしょうか？ 確認後、 「標準の起動」でWindowsを再起動させてね。
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/20 03:00
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうござます。 正常に動いてました。 エラーも出ませんでした。o(^▽^)o

回答
ANo.59	よく見ると、これはスタートアップリストですね。 これも役に立つんですが、No.55の説明どおり操作すると別のものが出ます。 それが「HijackThis」のログです。 よろしく・・・
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/19 18:23
ログインして投票する 参考になった：0件
この回答へのお礼	02-BHO（no name)のところに新しいやつは出てきてません。 それだけでは説明不足かな？

回答
ANo.58	「HijackThis」ログ 一番大事な部分が抜けているみたい。 「C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE」 のあとからチェックボックスを入れる部分の表示 入れる場所が無かったんでしょうか? それともこれから入れる?、
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/19 17:51
ログインして投票する 参考になった：0件
この回答へのお礼	すみません。m(__)m 「savelog」→「保存」をすると、 INSTALL.LOGファイルがオープンしませんとなります。 どういうことだろ？

回答
ANo.57	スタート→「ファイル名を指定して実行」をクリック msconfig と入力して「OK」をクリック 「システム設定ユーティリティ」が起動されます 「全般」タブの 「診断スタートアップ」を選択して システム設定ユーティリティを終了させます。 Windowsが最小のシステムで再起動されます。 この状態で 「Webの設定のリセット」ではどうなりますか？ 結果を確認したら、 「システム設定ユーティリティ」を起動させて 「全般」タブの 「標準」を選択して システム設定ユーティリティを終了させて Windowsを通常の状態で再起動します。
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/19 12:43
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 とりあえず、正常に動くようです。 IE終了時に出るエラーもでないです。

回答
ANo.56	>NEE.DLLをKILLBOXで消しちゃったんですが 　 　表で動くファイル：ENOOHC.DLL 　裏で動くファイル：NEE.DLL 　 　両方殺せば「about:blank」は消えるとにらんでたんですが・・・ 　 　裏の裏で動くファイル：WDM.DLL??? 　 >CWShredder　は引っかからなくなりました 　それでも、まだ、スタートページは「about:blank」ですか? 　No.41 basser_no1さんの「Webの設定のリセット」を実行して正常に戻りませんか? >依然、WDM.DLLは残ってます。 　「runme.bat」で作成された「Log.txt」にどのように表示されていますか。 　WDM DLLの行全体を貼り付けてください。 　 ☆DirDLL3.bat 　新しいファイルが出現している可能性もあります。 　下記バッチ実行して、4月以降の新しいデータが無いか調べてください。 :〜〜〜〜〜〜DirDLL3.batはじめ〜〜〜〜〜〜〜 c: cd\WINDOWS\System echo DLLファイルリスト日付順(降順) %date%%time%> c:\DirDLL3.txt echo\ >> c:\DirDLL3.txt dir *.dll /O-D >> c:\DirDLL3.txt Notepad.exe c:\DirDLL3.txt exit :〜〜〜〜〜〜DirDLL3.bat終わり〜〜〜〜〜〜〜
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/19 08:56
ログインして投票する 参考になった：0件
この回答への補足	CWShredder　で引っかかるファイルなんですけど、 どうやって見たのか忘れちゃいました。 すみません。m(__)m とりあえず、覚えいているのは　KERNEL32.DLL　です。
この回答へのお礼	ありがとうございます。 CWShredder　でやっぱり引っかかります。一時的なものだったのかな？まだ、about:blankのままです。 WDM.DLL　2ae60000 131072　C:\WINDOWS\SYSTEM\WDM.DLL 4月以降のファイルは　NCG.DLL　と　WDM.DLLです。

回答
ANo.55	「HijackThis」のログを貼り付けてみてください。 「Scan」ボタンを押し、リストが表示されると「Scan」ボタンが「Save log」に変わります。 「Save log」をクリックするとメモ帳で表示されます。 長ければ分割が必要になるかもしれません。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/19 06:48
ログインして投票する 参考になった：0件
この回答への補足	Listing of startup folders: Shell folders Startup: [C:\WINDOWS\スタート メニュー\プログラム\スタートアップ] FM便利ツール.lnk = C:\Program Files\Fujitsu\AUV\AUVCore.exe Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe WordLinker.lnk = C:\Program Files\ZENRIN\EmapZ2\WordLinker\SS_Linker.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run internat.exe = internat.exe ScanRegistry = c:\windows\scanregw.exe /autorun TaskMonitor = c:\windows\taskmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme LoadBtnHnd = C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe AvconsoleEXE = C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize VsStatEXE = C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING LoadQM = loadqm.exe Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE Hidserv = Hidserv.exe run LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES SchedulingAgent = mstask.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background -------------------------------------------------- C:\WINDOWS\WININIT.BAK listing: (Created 19/5/2004, 1:23:36) [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE -------------------------------------------------- C:\AUTOEXEC.BAT listing: SET DOS4G=QUIET C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\ /NOBREAK /SILENT IF ERRORLEVEL 1 PAUSE loadhigh c:\windows\COMMAND\nlsfunc.exe c:\windows\country.sys SET PATH=C:\FJUTY; SET PATH=%PATH%;C:\PROGRA~1\NETWOR~1\MCAFEE~1 -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208} (no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7} --------------------------------------------------
この回答へのお礼	ありがとうございます。 StartupList report, 04/05/19, 17:25:35 StartupList version: 1.52 Started from : C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE Detected: Windows 98 SE (Win9x 4.10.2222A) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

回答
ANo.54	Downloaded Program Filesフォルダに残骸は存在していませんでした。 Downloaded Program Filesフォルダにある desktop.iniファイルをダブルクリックします。 メモ帳で開かれるので ;CLSID={88C6C381-2E85-11d0-94DE-444553540000} これを CLSID={88C6C381-2E85-11d0-94DE-444553540000} こうします。 メモ帳で「ファイル」→「メモ帳の終了」をクリック 保存の確認ダイアログが出るので「はい」をクリックします。 ----------------------- ENOOHC.DLL が一番あやしいですね。 MS-DOSで起動してこのファイルを変名してみるとか。 NEE.DLLは読み込まれていないので Windowsをセーフモードで起動して直接変名してみてもいいかも。
回答者：ittochan
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/18 20:21
ログインして投票する 参考になった：0件
この回答への補足	Enumerating Download Program Files: [SurveyCtl35 Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL CODEBASE = ​http://activex.microsoft.com/controls/mtswizards/sw35.cab​ [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX CODEBASE = ​http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab​ [{8AD9C840-044E-11D1-B3E9-00805F499D93}] [{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}] [Yahoo! Audio Conferencing] InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL CODEBASE = ​http://cs.chat.yahoo.co.jp/v45/yacscom.cab​ [Update Class] InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL CODEBASE = ​http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020....​ [Yahoo! Webcam Viewer Wrapper] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL CODEBASE = ​http://chat.yahoo.co.jp/cab/yvwrctl.cab​ [Symantec RuFSI Registry Information Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL CODEBASE = ​http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab​ [Symantec AntiVirus scanner] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL CODEBASE = ​http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab​ -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL -------------------------------------------------- End of report, 6,451 bytes Report generated in 0.320 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only
この回答へのお礼	ありがとうございます。 ほっ、残骸が消えててよかった。o(^▽^)o ごめんなさい、NEE.DLLは消しちゃいました・・。(--ゞ

回答
ANo.53	＞「ファイル名を指定して実行」regsvr32と入力すると ＞No DLL name specified. ＞Usage: .... ＞というメッセージがでたんですが・・？ いえいえ、 regsvr32 /u ENBFCAA.DLL って意味です。 ごめんなさい。 私の勘違いでした。
回答者：ittochan
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/18 20:12
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 あっ、そういう意味だったのか、なるほど。 私の無知のせいでございます。m(__)m

回答
ANo.52	No.49 >CWShredder　で毎回引っかかるファイルはあるんだけどなぁ。 ファイル名教えてください。 複合汚染の可能性ありますので・・・ まあ、ここまで来たら、あせらずゆっくりやりましょう。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/18 20:00
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 NEE.DLLをKILLBOXで消しちゃったんですが、（まずかったかな？）それとともにCWShredder　は引っかからなくなりました。 依然、WDM.DLLは残ってます。

回答
ANo.51	No.49の操作 >パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ １．「KillBox」のメニューの「Action」＞「Delete on reboot」で 　　「PendingFileRenameOperations」画面を開いておきます。 ２．「KillBox」の画面で「Paste Full path of File to Delete」という 　　入力ボックスの右にあるフォルダアイコンをクリックします。 ３．ファイル選択画面が出ますので 　マイコンピューター＞Cドライブ＞Windows＞Systemを開き 　ENOOHC.DLLを選択して「OK」をクリック ４．「PendingFileRenameOperations」画面のメニューで 　「File」＞「AddFile」で選択したファイル名が画面に表示されると思います。 ５．同様に他のファイルも表示させてから 　「PendingFileRenameOperations」画面のメニューで 　「Action」>「Process and Reboot」をクリック 　 以上でパソコンが再起動されファイルが削除されると思います。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/18 19:54
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 ENOOHC.DLLはきえましたが、WDM.DLLは消えませんでした。 残念。。。

回答
ANo.50	heto2ちゃんのでも駄目だった場合、 WindowsXPでしたら (Windows98でしたっけ？・・・・可能かも、今確認できず) スタート→「すべてのプログラム」→ 「アクセサリ」→「システムツール」→ 「システム情報」をクリック ソフトウェア環境の 「読み込まれているモジュール」を開いて 一覧の 「製造元」をクリックすると製造元順に並び替えられます 中にある製造元の「Microsoft Corp」や知っているメーカ以外の モジュールを選択して 「編集」→「コピー」をクリックして この補足に貼り付けてください。 それと、 インターネットからインストールしちゃったActiveXの場合は Downloaded Program Filesに残骸が残っているかもしれないので 見てみてください。 方法は インターネットオプションの「全般」タブから 「設定」をクリック 「オブジェクトの表示」をクリック すると Downloaded Program Filesフォルダが開きます。 このフォルダは特殊フォルダなので残骸が見えないので ↓を施します。 ------------------- 「ツール」→「フォルダオプション」をクリック 「表示」タブをクリック 「アドレスバーにファイルのパス名を表示する」にチェックを入れて 「すべてのファイルフォルダを表示する」にチェックを入れて 「保護されたオペレーティングシステムファイルを表示しない」(Windows98には無いです) のチェックを外します。 警告ダイアログが出るので「はい」をクリックします。 Downloaded Program Filesフォルダのアドレスバーに 記述されているパスをコピーして スタート→「ファイル名を指定して実行」をクリック 入力ダイアログに コピーした文字列を貼り付けて 最後に\desktop.iniと追加します。 （例：C:\WINDOWS\Downloaded Program Files\desktop.ini） 「OK」をクリックすると desktop.iniファイルがメモ帳で開かれるので CLSID={88C6C381-2E85-11d0-94DE-444553540000} ここの先頭にセミコロン（;）を挿入して ;CLSID={88C6C381-2E85-11d0-94DE-444553540000} こうします。 メモ帳で「ファイル」→「メモ帳の終了」をクリック 保存の確認ダイアログが出るので「はい」をクリックします。 ------------------ そして Downloaded Program Filesフォルダを閉じて インターネットオプションの「全般」タブから 「設定」をクリック 「オブジェクトの表示」をクリックして開き直してみてください。 そして、出てきたファイル名をすべて教えて下さい。 それと、Downloaded Program Filesフォルダのパス名も教えて下さい。
回答者：ittochan
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/18 11:51
ログインして投票する 参考になった：0件
この回答への補足	システム情報です。知らない製造元及び製造元が空白のものです。 読み込まれている16ビットモジュール ・RWABS16 C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS16.DLL 4.0 ・WIN87EM C:\WINDOWS\SYSTEM\WIN87EM.DLL 3.0 読み込まれている32ビットモジュール ・HATCH32.DLL C:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL 99/06/07 1:25:20 GMT 033f0000 - 033fc000 ・DHCPCSVC.DLL C:\WINDOWS\SYSTEM\DHCPCSVC.DLL 99/05/11 3:12:22 GMT 7dd80000 - 7dd87000 ・HATCH32.DLL C:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL 99/06/07 1:25:20 GMT 10000000 - 1000c000 ・NETBIOS.DLL C:\WINDOWS\SYSTEM\NETBIOS.DLL 99/05/11 3:12:06 GMT 7f820000 - 7f828000 ・RWABS32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL 99/02/26 1:51:20 GMT 02060000 - 0206a000 ・MCSCAN32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL 99/10/21 3:41:54 GMT 00430000 - 004bb000 ・HATCH32.DLL C:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL 99/06/07 1:25:20 GMT 03840000 - 0384c000 ・RWABS32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL 99/02/26 1:51:20 GMT 03460000 - 0346a000 ・MCSCAN32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL 99/10/21 3:41:54 GMT 004b0000 - 0053b000 ・MOUSEHOOK.DLL C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.DLL 99/06/02 21:11:47 GMT 30010000 - 3001e000 ・MCSCAN32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL 99/10/21 3:41:54 GMT 023c0000 - 0244b000 ・HATCH32.DLL C:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL 99/06/07 1:25:20 GMT 013c0000 - 013cc000 ・SS_LINKER.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE 99/06/18 8:22:50 GMT 00400000 - 0040a000 ・RWABS32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL 99/02/26 1:51:20 GMT 013b0000 - 013ba000 ・MCSCAN32.DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL 99/10/21 3:41:54 GMT 01310000 - 0139b000 ・ENOOHC.DLL C:\WINDOWS\SYSTEM\ENOOHC.DLL 04/04/29 13:55:56 GMT 012e0000 - 012eb000 ・ATLIE.DLL C:\PROGRAM FILES\INETLITE\ATLIE.DLL 99/09/07 9:42:21 GMT 10000000 - 10013000 ・MOUSEHOOK.EXE 1, 0, 0, 1 SFD Inc. MouseHookApp C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE 99/06/02 21:11:58 GMT MouseHookApp 00400000 - 00406000 ・LHSHLEXT.DLL 1, 8, 2, 0 KazuSoft 大竹和則 Shell Extension DLL C:\WINDOWS\SYSTEM\LHSHLEXT.DLL 01/09/19 8:06:48 GMT LHSHLEXT Dynamic Link Library 1c000000 - 1c01b000 ・CSH.DLL 2.00.039 Blue Sky Software Corporation User RunTime Communication DLL C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\CSH.DLL 97/02/01 0:44:50 GMT What's This? Help Composer 02710000 - 02720000
この回答へのお礼	ありがとうございます。 C:\WINDOWS\Downloaded Program Files　の中身です。 avsniff.dll、avsniff.inf、CabSA.inf、catalog.dat、desktop.ini、DirectAnimation Java Classes.osd、Internet Explorer Classes for Java.osd、iuctl.inf、kdu_v32r.dll、Microsoft XML Parser for Java.osd、navapi.vxd、navapi32.dll、naveng32.dll、navex32a.dll、rufsi.dll、scrauth.dat、SurveyControl35.dll、surveycontrol35.inf、swflash.inf、symaveng.cat、symaveng.inf、symaveng.inf、tcscan7.dat、tcscan8.dat、tcscan9.dat、tinf.dat、tinfidx.dat、tinfl.dat、tscan1.dat、tscan1hd.dat、v.grd、v.sig、virscan.inf、virscan1.dat、virscan2.dat、virscan3.dat、virscan4.dat、virscan5.dat、virscan6.dat、virscan7.dat、virscan8.dat、virscan9.dat、virscant.dat、vscanmsx.dat、VwrCtl.inf、yacscom.dll、yacscom.inf、Yahoo! Chat JP 2.osd、yvwrctl.dll、ywcvwr.dll、zdone.dat

回答
ANo.49	色々調べているうち、CWS.Realyellowpage というスパイウエアの可能性が出てきました。 ​http://www.spywareinfo.com/~merijn/cwschronicles.html#realyellowpage​ このウィルスは実行プログラムをタスクマネージャのプロセスリストからでさえ見えないようにしてしまうため、特殊なツールが必要になります。 regsvr32の実行をも妨害している可能性もあります。 見つけたファイルを削除するにも特殊なツールが必要になります。 通常のファイルやレジストリの操作方法では修正できないかも知れません。 スタートページに表示されているページが次のページかどうか確認ください。 ​http://linklist.cc/​ もしこのページと同じであれば次の作業に入ってください。 以下、Merijnさんのサイトでの説明を解りやすく書いてみました。 ただし、危険な作業ですので、時間の余裕をもって慌てず確実にやってください。 １．デスクトップに「CWS」というフォルダを作ります。 ２．プログラムのダウンロード 　 　下記ファイルをダウンロードして「CWS」フォルダに保存してください。 　「PV」(ProcessView) 　​http://www.spywareinfo.com/~merijn/files/pv.zip​ 　隠しファイルを見つけるツール 　 　「KillBox」 　​http://download.broadbandmedic.com/​ 　OSの再起動してファイルを削除するツール 　 　「pv.zip」を解凍します。 　解凍したフォルダに「runme.bat」というファイルがあるのを確認してください。 　 　「KillBox」 　同じく「KillBox.exe」というファイルがあるのを確認してください。 　 ３．任意のIE画面を開いておきます。 ４．「runme.bat」を起動します。 　「pv.exe」を使って、IE関連のモジュールを一覧表示させるバッチファイルです。 　IEが起動されていなければ何も表示されません。 　「Log.txt」 　メモ帳が開き実行中のプロセスの一覧（「Log.txt」)が表示されます。 　「61c00000 61440」 　リストの2列目と3列目に上記表示のあるファイルを見つけてください。 　 　３列目にあるファイルパスとファイル名を「Ctrl+C」で、クリップボードにコピーしておきます。 　 　複数のファイルがあるかもしれません。 　下記のファイルに注意してください。 　 　ENOOHC DLL 　NEE DLL 　WDM DLL 　 ５．「KillBox.exe」を起動します。 　メニューの「Action」を開き "Delete on Reboot"を選択します。 ６．「PendingFileRenameOperations」という画面が開きます。 　AAA.「File」＞「Add File」 　　メニューの「File」＞「Add File」を選択するとクリップボードにコピーされているファイルパスとファイル名が自動的に追加されます。 　BBB.「File」＞「Remove File」 　　間違って削除してはいけないファイルを追加してしまった場合はその行を選択してメニューの「File」＞「Remove File」をクリックして、画面から削除します。 　　!!!　必要なファイルを誤って削除しないよう充分に注意してください!!! 　CCC.削除するファイルの追加 　　「Log.txt」に戻りファイルパスとファイル名をコピーして、「KillBox.exe」のメニューの「File」＞「Add File」をクリックします。 　DDD.「File」＞「Process and Reboot」 　　削除するファイルを確定できたら「PendingFileRenameOperations」画面の 「File」＞「Process and Reboot」をクリックします。 　EEE.パソコンが再起動され、指定したファイルが削除されます。 　 ７．再起動後、任意のIE画面を開いておき「runme.bat」を起動してファイルが削除されているのを確認してください。 隠しファイルや、通常の操作では削除できないファイルを削除できればあとは「HijackThis」等で修復可能と思います。 しかし、複合汚染の可能性もあります。 削除できたファイルや、気付いたことなどレポート下さると助かります。 ☆sp.htmlのこと どうやら、DLLファイルに内蔵しているみたいです。 探しても見つからないと思います。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/18 09:16
ログインして投票する 参考になった：1件
この回答への補足	すみません。 ENOOHC.DLLとWDM.DLLはありました。m(__)m と、パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ
この回答へのお礼	ありがとうございます。 そっくりです！(+_+) 80個位ファイルがありましたが、 61c00000 61440　ENOOHC DLL、NEE DLL、WDM DLL はありません。 CWShredder　で毎回引っかかるファイルはあるんだけどなぁ。

回答
ANo.48	ANo.#23のbeerserverちゃんへの補足を見たんですが。 ＞Enumerating Browser Helper Objects: ＞(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - ＞{9A2BC76A-A457-11D8-B660-00901F25D67B} これ、 ENBFCAA.DLL これは レジストリの HKEY_LOCAL_MACHINE 　＋SOFTWARE 　　＋Microsoft 　　　＋Windows 　　　　＋CurrentVersion 　　　　　＋Explorer 　　　　　　＋Browser Helper Objects 　　　　　　　＋{9A2BC76A-A457-11D8-B660-00901F25D67B} この{9A2BC76A-A457-11D8-B660-00901F25D67B}キーのことでしょうか？ これは今も存在していますか？
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/18 06:40
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 多分こうだったと思います。 HKEY_LOCAL_MACHINE +Software +CLASSES +CLSID +{9A2BC76A-A457-11D8-B660-00901F25D67B} 削除したので今はないです。

回答
ANo.47	入力履歴を見て気づいたんですが regsvr32 は 「ファイル名を指定して実行」からできますよ。 それと、 レジストリエディタは終了させずに、 regsvr32を実行します。 regsvr32を実行後 レジストリエディタを表に出して 「F5」キーを押せば レジストリの内容が更新されるので楽です。
回答者：ittochan
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/18 06:08
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 「ファイル名を指定して実行」regsvr32と入力すると No DLL name specified. Usage: .... というメッセージがでたんですが・・？

回答
ANo.46	＞残念 ＞どこかに実行履歴が残ると思いしが・・・ koroteke さんがキー入力した履歴だけ残るんですよね。 ＞DllUnregisterServer in ENOOHC.DLL succeeded ＞となりました。成功かな？ ＞ENOOHC.DLLのキー↓はきえていないです。 HKEY_CLASSES_ROOT 　＋CLSID 　　＋{A386326B-A6B2-11D8-B660-00909A6F7C9A} ここ以外に {A386326B-A6B2-11D8-B660-00909A6F7C9A} の文字列は検索されないのなら ANo.#37と同じように削除します。 ↑を削除すれば、 HKEY_LOCAL_MACHINE 　＋Software 　　＋CLASSES 　　　＋CLSID 　　　　＋{A386326B-A6B2-11D8-B660-00909A6F7C9A} も消えます。 NEE.DLLはどうでしょか？
回答者：ittochan
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/18 05:16
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 ごめんなさい。再起動をしていないせいか、キーは消えていました。 NEE.DLLはまだ残ってます。

回答
ANo.45	>OpenSaveMRUというキーはありませんでした。 残念 どこかに実行履歴が残ると思いしが・・・ 助けて!　ittochanさん! >RunMRUは >a "regedit\1" >b "command\1" >c "regsvr32 /u ENBFCAA.DLL\1" >d "regsvr32 /u JKFJP.DLL\1" >MRUList "cadb" MRUList "cadb" 下記の順(または逆順)に実行されたことを示しています。 c "regsvr32 /u ENBFCAA.DLL\1" a "regedit\1" d "regsvr32 /u JKFJP.DLL\1" b "command\1" 出かけなければなりませんので、本日これまで
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/17 08:36
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 なるほど。勉強になります。

回答
ANo.44	楽に作業できるようバッチファイル作りました。 実行結果教えてください。 :〜〜〜〜〜〜DirDLL2.batはじめ〜〜〜〜〜〜〜 :sp.htmlを見つける :DLLファイルを日付順(降順)でリストアップ : 　c: 　cd\WINDOWS\System 　dir sp.html /s > c:\DirDLL2.txt 　dir *.dll /O-D >> c:\DirDLL2.txt 　Notepad.exe c:\DirDLL2.txt :〜〜〜〜〜〜DirDLL2.bat終わり〜〜〜〜〜〜〜 :〜〜〜〜〜〜DirAH2.batはじめ〜〜〜〜〜〜〜 :隠しファイルを見つける :「C:\WINDOWS\system のディレクトリ」以下に :ファイル一覧を表示 :表示が無ければ隠しファイルなし。 : 　c: 　cd\WINDOWS\System 　dir /a:h > c:\DirAH2.txt 　Notepad.exe c:\DirAH2.txt :〜〜〜〜〜〜DirAH2.bat終わり〜〜〜〜〜〜〜 :〜〜〜〜〜〜AttDLL2.batはじめ〜〜〜〜〜〜〜 :疑わしいファイルの属性を調べる : 　c: 　cd\WINDOWS\System 　attrib ENOOHC.DLL > c:\AttDLL2.txt 　attrib sp.html >> c:\AttDLL2.txt 　attrib NEE.* >> c:\AttDLL2.txt 　attrib enbfcaa.dll >> c:\AttDLL2.txt 　attrib JKFJP.DLL >> c:\AttDLL2.txt 　Notepad.exe c:\AttDLL2.txt :〜〜〜〜〜〜AttDLL2.bat終わり〜〜〜〜〜〜〜
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/17 08:22
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 DirDLL2　（日付が2004年4月以降のものです。） ENOOHC DLL 31,232 04-05-15 21:40 enoohc.dll NEE DLL 31,232 04-05-05 6:29 nee.dll WDM DLL 57,344 04-05-05 0:19 wdm.dll DirAH2　 FOLDER HTT 13,240 99-12-13 15:58 folder.htt DESKTOP INI 266 99-12-13 15:58 desktop.ini BJBGMON GID 10,828 04-02-05 1:34 Bjbgmon.GID BJSTS GID 10,829 01-04-19 1:34 bjsts.GID BJSTLST GID 10,828 01-04-19 1:50 Bjstlst.GID BJUITBL GID 19,105 03-01-24 21:49 bjuitbl.GID AttDLL2 A ENOOHC.DLL C:\WINDOWS\System\enoohc.dll A NEE.DLL C:\WINDOWS\System\nee.dll

回答
ANo.43	１．「CWShredder」(Ver.1.57.0) 　「CWShredder」が（完全ではありませんが)対応し始めたようです。 　(Ver.1.57.0)をダウンロードしてチェックしてください。 　​http://www.spywareinfo.com/~merijn/downloads.html​ 　下記のレポートが表示されるはずです。 　コピーして貼り付けてください。 　 　Infected Registry value: 　HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar 　Infected data: res://C:\WINDOWS\SYSTEM\ENOOHC.DLL/sp.html (obfuscated) 　（以下30行ほど続く) ２．sp.html 　C:\WINDOWS\SYSTEM\ENOOHC.DLL/sp.html/ 　「sp.html」というファイルを見つけ出してください。 　この中にスクリプトが書き込まれている可能性があります。 　 ３．ENOOHC.DLL 　ENOOHC.DLLのプロパティで「属性」を調べてください。 　 ４．NEE.DLL 　以下調査ください。 　NEE.DLLがまだ存在するか? 　NEE.XXXが存在するか?
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/17 07:20
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 1.　ダウンロードしてチェックしましたが、そのようなレポートが出なかったのですが...? 2.　sp.htmlというファイルはありませんでした。 3.　ENOOHC.DLLの属性はアーカイブにチェックが入ってます。 4.　NEE.DLLはまだ存在しています。NEE.XXXは存在しないです。

回答
ANo.42	１． ＞HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C} ＞HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1} ＞これでよろしいですか？ これは HKEY_CLASSES_ROOT 　＋CLSID 　　＋{9A2BC769-A457-11D8-B660-0090EFF7480C} 　　＋{5AE2C585-A5E3-11D8-B660-00908DF51DD1} のコピーなのです。 あとは無いんですね？ もし無ければレジストリエディタでの探索はこれ以上無理って事になります。 ２． ＞2つとも消えてませんでした。 ＞LoadLibrary("enbfcaa.dll")filed. ＞GetLastError returns 0x00000485 ＞というメッセージはエラーということでしょうか？ これはregsvr32では 登録解除できなかったことになります。 現在、そのファイルが使用中の場合は登録解除できません。 Windowsをセーフモードで起動してやってみると 登録解除できるかもしれません。 １で、そこ以外に無くて ２で、Windowsのセーフモードでも駄目で ENBFCAA.DLLとJKFJP.DLLが不必要なファイルなら レジストリエディタで HKEY_CLASSES_ROOT 　＋CLSID 　　＋{9A2BC769-A457-11D8-B660-0090EFF7480C} 　　＋{5AE2C585-A5E3-11D8-B660-00908DF51DD1} この {9A2BC769-A457-11D8-B660-0090EFF7480C} {5AE2C585-A5E3-11D8-B660-00908DF51DD1} ２つのキーを削除すればOKです。 ENOOHC.DLLの探索はどうでしょうか？
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/17 05:50
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 セーフモードでもダメだったので、削除しました。 ENOOHC.DLLは DllUnregisterServer in ENOOHC.DLL succeeded となりました。成功かな？けど、ENOOHC.DLLのキー↓はきえていないです。 HKEY_CLASSES_ROOT\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32

回答
ANo.41	問題の「DLLファイル」は、IEの起動・終了・設定等操作をするとファイル名が書き換えられていたかも知れません。 試しに、ＩＥを起動→トップページのソース表示をし保存、開いたまま「ツール→インターネットオプション」で「Webの設定のリセット」を実行後、IEを「終了→再起動」で再表示させた時のソースを比較した場合、「res://%43%3a%・・・」行のファイル名は同じでしょうか？ 私の場合（Win2000）、レジストリには「res://%43%3a%5c%・・・」とエンコードされて書き込まれてましたので、この先頭の文字列でレジストリキーを検索しヒットしたモノをコード表で解析すれば現在のDLLファイルが判明すると思うので、その状態のままフォルダを検索すれば見つかるかも知れません。
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/16 23:42
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうござます。 試してみましたが、同じファイル名でした。 HKEY_CURRENT_USER　と　HKEY_LOCAL_MACHINE　と　HKEY_USERS の　 \Software\Microsoft\Internet Explorer　の \Main　の　Search Bar　と　Search Parge　、 \Search　の　Search Assistant　が "res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%4f%4f%48%43%2e%44%4c%4c/%73%70%2e%68%74%6d%6c" となっていました。

回答
ANo.40	〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 以下、時間がなくなってきたので、見込み運転です。 No.39でDirDllAH.txtの表示が空白であった場合、次の作業に移ってください。 １．全てのIE画面を終了させる ２．「HijackThis」を起動して、「Scan」をクリック ３．「NOOHC.DLL」を含む行の左端のチェックボックスをクリックしてチェックを入れる。 　例えば下のような行 　O2 - BHO: (no name) - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx} - C:\WINDOWS\ESystem\NOOHC.DLL 　(xxxxxxxxには英数字が入ります。) 　 ４．「Fix checked」をクリック ５．「HijackThis」を終了 ６．コンピュータを再起動します。 ７．「Web設定のリセット」 　IEを起動してメニューの「ツール」「インターネットオプション」「プログラム」画面にある「Web設定のリセット」で初期設定に戻してください。 ☆お願い 参考までに下記レジストリの右側で怪しげなファイル名が無いか調べてください。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/16 17:50
ログインして投票する 参考になった：0件
この回答への補足	おっしゃったとおりにしました。 けど、またHijackThisでscanしたところ、 02 - BHO のところに「・・・ENOOHC.DLL」がでてきました。
この回答へのお礼	ありがとうございます。 OpenSaveMRUというキーはありませんでした。 RunMRUは a "regedit\1" b "command\1" c "regsvr32 /u ENBFCAA.DLL\1" d "regsvr32 /u JKFJP.DLL\1" MRUList "cadb" となっています。

回答
ANo.39	チョイト説明不足でした。 DirDllAH.txtは検索結果を表示するファイルです。 メモ帳等で開いてください。 空白であれば隠しファイルは無かったということになります。 korotekeさんのご回答を待って,次の作業に入りたいと思います。 敵は本能寺(NEE.DLL)にありそうです。 しかし、ファイル操作を繰り返しているうちにファイル名が変わっている可能性もありますので油断は禁物です。 何とか今日中に片付けたいですね。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/16 16:42
ログインして投票する 参考になった：0件
この回答への補足	ごめんなさい。 「NOOHC.DLL」ではなく、 「ENOOHC.DLL」でした。 すみません。m(__)m
この回答へのお礼	ありがとうございます。 No.38のお礼のところに書いたもののみが書いてありました。 という事は空白という事でいいのかな？ と、補足です。 No.35のところでファイルは２つと書きましたが、３つになってました。m(__)m NOOHC.DLL　と　NEE.DLL　と　WDM.DLL　の３つです。

回答
ANo.38	>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU 　MRUは「MostRecentlyUsed」の略ですから、検索履歴と考えていいでしょう。 　 >HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32 　「InProcServer32」キーを使って特殊なプログラムをメモリーに読み込むようです。 　しかし、この辺になると、私の知識もあやふやなので「丸呑み禁止」です。 　この辺はittochanさんがお詳しいと思います。 　 >NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。 次々に、実行ファイル名を変えたり、隠しファイルにしている可能性が出てきました。 １．NEE.DLL 　エキスプローラでプロパティを調べてください。 　 　「全般」画面 　　サイズ: 　　ディスク上のサイズ: 　　作成日時: 　　更新日時: 　　アクセス日時: 　 　「バージョン情報」画面 　　説明: 　　著作権: 　　会社名 　　 ２．WDM.DLL 　NEE.DLLと摩り替わった可能性がありますが、「隠しファイル」で生きている可能性もあります。 　下記バッチファイルを試してみてください。 　 ☆バッチファイルの作成 　C:\WINDOWS\System32\フォルダにある「DLL」ファイルのうち「隠し属性」のあるものをテキストファイルに書き出します。 　下記の行をメモ帳等に貼り付け、例えば「DirDLLAH.bat」という名前で「c:\」に保存してください。 　:〜〜〜〜〜〜引用はじめ〜〜〜〜〜〜〜 　c: 　cd\ 　cd \WINDOWS\System 　dir *.dll /a:h > c:\DirDllAH.txt 　:〜〜〜〜〜〜引用終わり〜〜〜〜〜〜〜 　 ☆バッチファイルの実行 　「c:\DirDLL.bat」を実行すると「c:\DirDllAH.txt」が作成されます。 　もし、このファイルが空白であれば削除されたと判断します。 　 　通常、DLLファイルを隠しファイルにする必要は無いはずです。 　もし、隠しファイルがあれば疑っていいと思います。 　 ☆プロパティの調査 　隠し属性を削除する作業が必要です。 　 >新しいDLLはENOOHC.DLL この種のファイルは「HijackThis」で楽に削除できるので、今回はあまり重要視していません。 なれぬことで大変でしょうが、着々と作業が進んでいると思っています。 korotekeさんのご回答に注目している方も多いと思います。 何度も言いますが、貴方がお持ちの情報が一番貴重なんです。 あと一息! 頑張りましょう。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/16 08:30
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 そのお言葉を励みに頑張りたいと思います。ヾ(＠＾▽＾＠) NEE.DLLは全般タブのみで、バージョン情報はありません。 サイズ：30.5KB（31,232）、32,678バイト使用 作成日時：2004年5月5日 6:29:16 更新日時：2004年5月5日 6:29:18 アクセス日：2004年5月16日 DirDllAH.txtは ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS\SYSTEM となってます。

回答
ANo.37	ENBFCAA.DLL のCLSIDが {9A2BC769-A457-11D8-B660-0090EFF7480C} JKFJP.DLL のCLSIDが {5AE2C585-A5E3-11D8-B660-00908DF51DD1} なので、 レジストリエディタで {9A2BC769-A457-11D8-B660-0090EFF7480C} と {9A2BC769-A457-11D8-B660-0090EFF7480C} という文字列を検索して、どこに登録されているか調べます それと、 スタート→「ファイル名を指定して実行」をクリック regsvr32 /u ENBFCAA.DLL と入力して「OK」をクリック と スタート→「ファイル名を指定して実行」をクリック regsvr32 /u JKFJP.DLL と入力して「OK」をクリック をしてみます。 もし成功のダイアログが出たら、 もう一度レジストリエディタで HKEY_CLASSES_ROOT 　＋CLSID 　　＋{9A2BC769-A457-11D8-B660-0090EFF7480C} 　　＋{5AE2C585-A5E3-11D8-B660-00908DF51DD1} この２つのキーが消えているか確認します。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/16 07:32
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C} HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1} これでよろしいですか？ 2つとも消えてませんでした。 LoadLibrary("enbfcaa.dll")filed. GetLastError returns 0x00000485 というメッセージはエラーということでしょうか？

回答
ANo.36	>cd /d c:\windows\systemと入力すると 無効なスイッチです。-/D Windows98のMS-DOSプロンプトだと、 "/D"オプションは使えないのかもしれません。 （私の環境では問題ありませんが...） 以下の様に入力しても同じ結果を得られます。 　C: [Enter] 　CD C:\WINDOWS\SYSTEM [Enter] （[Enter]はエンターキーを押す事を意味します） でも、heto2さんのご指摘の様に、 BHOは自動で削除されているのかもしれません。 経験不足ですみません...。 私よりheto2さんの方がずっとお詳しいので、 意見に食い違いがあったら私の方は信じないで下さい（笑） しかし、DOSのコマンドは覚えておいて 今後の為に損はないので試してみて下さいね。 あと、レジストリの検索についてですが、 "F3"を押さないと次に進みませんのでご注意下さい。 （１つずつしか検索出来ない）
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/15 22:55
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 C:[Enter]を入力すると コマンドまたはファイル名が違います。 となります。 MS-DOSプロンプトは初めてさわったのですが難しいですね。(*_*)

回答
ANo.35	★ヒューリスティックスキャン 　No.13　basser_no1さん＜実際に解決した方法＞ 　マカフィーのソフトではヒューリスティックというウィルス検索方法が採用されています。 　これは、ウィルスのファイル名でなくウィルスの動作パターンを特定してウィルスを検索する方法です。 　新種のウィルスやファイル名が違うが動作が同じウィルスの検出に威力を発揮します。 　今回のようにファイル名がわからない場合に役立っっているように思います。 　 ☆このスパイウエアの特徴は? 　 　No.13　basser_no1さんの解決例をヒントに、泥臭いやり方を考えてみました。 　 　１．拡張子が「DLL」のファイルである。 　２．C:\WINDOWS\System\フォルダに保存されている可能性が高い。 　３．作成日がごく最近である。 　４．プロパティ表示で著作権者、会社名が無いと思われる。 　 ☆バッチファイルの作成 　C:\WINDOWS\System32\フォルダにある「DLL」ファイルを新しい日付順にリストアップしてテキストファイルに書き出します。 　下記の行をメモ帳等に貼り付け、例えば「DirDLL.bat」という名前で「c:\」に保存してください。 　:〜〜〜〜〜〜引用はじめ〜〜〜〜〜〜〜 　c: 　cd\WINDOWS\System 　dir *.dll /O-D > c:\temp.txt 　:〜〜〜〜〜〜引用終わり〜〜〜〜〜〜〜 　 ☆バッチファイルの実行 　「c:\DirDLL.bat」を実行すると「c:\temp.txt」が作成されます。 　 ☆プロパティの調査 　Win98ですから、「c:\temp.txt」には2004年4月以降の日付のファイルは僅かしかないと思います。 　エキスプローラでファイルを選択プロパティを調べてください。 　 　もし日付が変更されていたら? 　「それを言っちゃあ、おしまい」、ではありません。 　別の方法を考えましょう
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/15 15:06
ログインして投票する 参考になった：0件
この回答への補足	補足です。新しいDLLはENOOHC.DLL HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU に a　"" b　"GLB1A2B.EXE" c　"GREUNI~1.EXE" d　"WDM" e　"enoohc" MRUList　"eabcb" というものがありました。 また、 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326C-A6B2-11D8-B660-00901586E4EE}\InProcServer32 にもENOOHC.DLLがありました。
この回答へのお礼	ありがとうございます。 2004年4月以降の日付のファイルは２つあります。 NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。

回答
ANo.34	★裏技：IEの自動変換機能を使う。 　IEにはASCIIコードをアルファベットに自動変換する機能があります。 　「%」で始まる文字列をIEのアドレス欄に貼り付けます。 　先頭に「http://」を追加して「移動」をクリックで下記のようになります。 　変換(移動)前 　​http://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%4a%4b...​ 　変換(移動)後 　​http://C:​\WINDOWS\SYSTEM\JKFJP.DLL/ 　これで、新しく生成されたBHOが次のファイルを使っていることが解ります。 　C:\WINDOWS\SYSTEM\JKFJP.DLL 　この状況は「HijackThis」にも表示されます。 ★ファイルが見つからない 　「HijackThis」で「Fix」した結果、レジストリ設定を削除すると同時にファイルも削除していると思います。 ★「CWShredder」でも削除できない 　「HijackThis」に表示されるレベルであれば「CWShredder」で駆除できると思います。 　「CWShredder」で駆除できない理由は、他に隠れているファイルがあって、「ENBFCAA.DLL」や「JKFJP.DLL」を生成しているからです。 　「ENBFCAA.DLL」や「JKFJP.DLL」は「HijackThis」で簡単に削除できるので大した問題ではありません。 　問題は、隠れたファイルを見つけて削除することです。 　しかし、簡単ではありません。 　その隠しファイルもまた、次々名前を変えて出現しているからです。 ★気になるファイル 　No.24　回答に対する補足 　[rename] 　NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE 　NUL=C:\WINDOWS\GREUNI~1.EXE 　この種のスパイウエアでは「DLL」ファイルが使われるので関係ないかもしれませんが、念のためこのファイルがあるか調べてみてください。 　「NUL=」ということは消えてしまっているかも。 　それとも「.EXE」になっているんでしょうか? 　 ★「Merijn」 vs 「CoolWebSearch」 　「Merijn」 さんは「CWShredder」や「HijackThis」の作者です。 　まだ若い学生さんだそうですが、世界中のアンティスパイウエアの世界で注目されている人です。 　しかし、「CoolWebSearch」からは商売の邪魔をするものとして憎まれています。 　今年はじめから、欧米のアンティスパイウエアサイトが軒並みDDoS攻撃を受け接続不能になりました。 　当然「Merijn」 さんのサイトもダウンしました。 　現在、DDoS攻撃を防御できるSpyWareInfoのサイトで仮住まい中です。 　そして今、「about:blank」というアドウエアに世界中が悩まされています。 　「別居、解雇、逮捕の危険も？――ブラウザーを乗っ取る悪質なスパイウェア」 　​http://hotwired.goo.ne.jp/news/news/20040514207.html​ 　いずれもファイル名をランダムに生成したり、ファイル名を隠すという手口を使ってアンティスパイウエアでは削除できないプログラムをばら撒いています。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/15 13:30
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 便利な裏技ですね。 GLB1A2B.EXEとGREUNI~1.EXEはないようです。 世の中には変な人もいるもんですね。

回答
ANo.33	ごめんなさい。 #32のアスキーコード変換フォームは、 Internet Explorerでは使えない様です。 （Netscapeなら大丈夫です） フリーソフトがいくつかありますのでそちらを使って下さい。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/15 11:37
ログインして投票する 参考になった：0件
参考URL：	​http://search.vector.co.jp/search?query=ASCII%83R%81%5B%83h​
この回答へのお礼	ありがとうございます。 なかなか便利ですね。

回答
ANo.32	またファイル名が変わっている事が予想されるので、 以前の様に、スタートページのソースにある アスキーコードを変換して、ファイル名を調べて下さい。 参考URLのフォームで簡単に調べる事が出来ます。 あと、ベテランのittochanさんのアドバイスに従って、 各種機能の無効化とレジストリでの検索を実施して下さい。 レジストリエディタは以下の方法で起動出来ます。 　スタート -> ファイル名を指定して実行 -> regedit 下手にいじると壊れますので慎重にお願いします。 検索は"Crtl + F"か編集メニューから実行出来ます。 ENBFCAA.DLLとJKFJP.DLL、それから ↑で分かった新しいファイル名で検索をかけて下さい。 見つかったら、左側のウインドウに出ているキーの名前と、 右側のウインドウに表示されている 名前、種類、データという部分を書き出して下さい。 キーの名前については、 キーを選択して、右クリックメニューから "キー名のコピー"を押せば、 クリップボードにキーの名前がコピーされます。 （エディタのステータスバーにも表示されています） ファイルが見つからない原因を特定したいので、 HijackThisでエントリを削除する前に以下を試して下さい。 　MS-DOSプロンプトを起動する 　以下のコマンドを実行する 　　cd /d c:\windows\system 　　dir ○○○ 　　（○○○はコード変換で得たファイル名。 　　　XXXX.DLLの様なファイル名だけでいいです。 　　　"c:\windows\system\"までの入力は不要。） 　　ファイルが見つかれば、詳細が表示されるはずです。 　　駄目な場合は入力を間違えている可能性があります。 　　全て半角入力で、拡張子直前の" . "をお忘れなく。 　　エラーが出た場合は、どの作業の時点で 　　どんなエラーが出力されたか教えて下さい。 DIRはフォルダの内容を一覧表示するコマンド、 CDは現在のフォルダから移動するコマンドです。 ちなみにDELはファイル削除、ATTRIBは、 （読み取り専用などの）ファイル属性を変更します。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/15 11:31
ログインして投票する 参考になった：0件
参考URL：	​http://www.umechando.com/tips/09.htm​,  ​http://higaitaisaku.web.infoseek.co.jp/regedit.html​
この回答へのお礼	ありがとうございます。 cd /d c:\windows\systemと入力すると 無効なスイッチです。-/D となります。私はまた勘違いしているのかな・・？

回答
ANo.31	Windows98の場合、 アクティブデスクトップ機能もオフにしておきましょう デスクトップで 右クリック→「Webページで表示」にチェックが入っていたら外します。 それと、 スタート→「設定」→「フォルダオプション」の 「全般」タブで 「従来のWindowsスタイル」にしておいたほうがいいです。 悪質なAvtiveXが動く確立が減ります。 レジストリエディタで ENBFCAA.DLLやJKFJP.DLLを検索してみる方法も一考では。
回答者：ittochan
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/15 06:31
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 HKEY_CLASSES_ROOT\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}\InProcServer32 に（標準）　"C:\WINDOWS\SYSTEM\ENBFCAA.DLL" と HKEY_CLASSES_ROOT\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}\InProcServer32 に（標準）　"C:\WINDOWS\SYSTEM\JKFJP.DLL" というのがありました。

回答
ANo.30	ENBFCAA.DLL -> JKFJP.DLLに適宜置き換えて、 もう一度、最初から#26&29の手順を実行してみて下さい。 それに加えて最後に、 　コントロールパネル -> インターネットオプション -> 　プログラム（タブ） -> "WEB設定のリセット"を押して下さい。 作業を終えるまで、絶対にIEを起動してはいけません。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/15 01:56
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 またファイルが見つかりませんとなります。間違えずに入力しているのですが・・。

回答
ANo.29	>ENBFCAA.DLLを検索しても出てきませんでした。 多分、隠しファイルやシステムファイルを リストに表示しない設定になっているからですね。 コントロールパネル -> フォルダオプション -> 表示タブ で、"すべてのファイルを表示する"を選択して下さい。 >C:\WINDOWS>という文字が必ずでてくるため、attrib -Rを入力する事ができないです。 すみません、こちらの方も説明不足でした。 ">"の後にそのまま入力して頂いて構いません。 前の文字列は現在の位置を表しています。 エクスプローラで例えれば、Windowsフォルダ のウインドウをいまは開いているということです。 今回のコマンドでは、フォルダの位置は 関係ありませんので特に気にしなくても大丈夫です。 画面表示の上では以下の様になります。 　C:\WINDOWS>attrib -R C:\WINDOWS\SYSTEM\ENBFCAA.DLL 　C:\WINDOWS>del C:\WINDOWS\SYSTEM\ENBFCAA.DLL この方法でもうまくいかない場合は、 起動ディスクを作成してトライしてみて下さい。 マイコンピュータを開き、 フロッピードライブのアイコンを選択して、 右クリックメニュー -> フォーマットと進みます。 "システムのコピー"というところに チェックして、いらないフロッピーを初期化して下さい。 初期化が完了したら、それをFDDに挿入して再起動します。 起動後、MS-DOSのプロンプトが出ますので、 　attrib -R C:\WINDOWS\SYSTEM\ENBFCAA.DLL 　del C:\WINDOWS\SYSTEM\ENBFCAA.DLL を先ほどと同じ様に試してみて下さい。 うまく行ったら、もう一度セーフモードから、 Ad-awareとSpyBot,CWShredderでスキャンして下さいね。 あと、もう一つ追加です。 CoolWebSearch系はIEの信頼済みサイトに 有害なアドレスを登録する事がある様です。 好ましくないのでクリアしておきましょう。 　コントロールパネル -> インターネットオプション -> 　セキュリティタブ -> 信頼済みサイト -> サイト（ボタン） リスト内のURLに覚えが無い場合は削除して下さい。 削除が完了したら、"OK"を押して前の画面に戻ります。 信頼済みサイトのアイコンを選択して、 下にある"規定のレベル"ボタンを押します。 それから、バーのつまみを"中"にスライドさせて下さい。 （スライドバーが既に表示されている場合は、 "規定のレベル"のボタン操作は不要です） 同じやり方で、イントラネットも"中"にします。 インターネットはもともと"中"、 制限付きサイトは"高"になってると思いますが、 もし違っていたら↑と同じ方法で変更して下さい。 セキュリティレベルが中より下だと、 ユーザーの同意無しでスパイウェアなどの 悪質なプログラムを埋め込まれる恐れがあります。 ただ、せっかく警告画面が出ても何も考えずに "YES"を押してしまえば何の意味もありませんが...。(^_^;) >トップページは治ったと思うんですが、IE終了後に「不正な処理を行ったので・・・」というエラーがでます。これもアドウェア？？の仕業ですか？ ウイルスやスパイウェアを抜きにしても、 全体的に不安定になっている印象を受けますので、 アドウェアが原因かどうかはこれだけでは分かりません。 ちなみにIEを閉じて駆除作業しましたよね？
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/14 22:31
ログインして投票する 参考になった：0件
この回答への補足	補足です。 表示―ソースで見てみたらやはり変わってました。 res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%4a%4b%46%4a%50%2e%44%4c%4c これです。解読してみるとJKFJP.DLLとなるのでは？ どういう事？(・・?
この回答へのお礼	ありがとうございます。 うぅ・・。またトップページが「Search for」になっちゃいました。 もう一度hijackthisでscanしてみたら、BHOのところにDLLが増えていました。こいつ↓ C:/WINDOWS/SYSTEM/JKFJP.DLL 同じ作業をすればいいんでしょうか？ すべてのファイルを表示するにチェックは入ってます。 けど、見つかりません。 MS-DOSプロンプトでもファイルが見つかりませんとなりました。

回答
ANo.28	「eConnect」について このソフトが悪用されて、国際電話や有料ダイアルに接続されることがあるそうです。 ​http://www.itmedia.co.jp/magazine/ybb/0310/sp3/04.html​ IEのメニューの「ツール」「インターネットオプション」「接続」で「eConnect」の設定があれば削除してください。 「既定」に設定されていると大変なことになります。 ただし、ユーザーが意識して設定している場合は、その限りではありません。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/14 11:20
ログインして投票する 参考になった：0件
参考URL：	​http://www.itmedia.co.jp/magazine/ybb/0310/sp3/04.html​
この回答へのお礼	ありがとうございます。 「eConnect」はないようです。

回答
ANo.27	書き忘れましたが、 作業中は他のプログラムを開かないで下さいね。 あと、ついでなので書き込みさせて頂きますが、 無事駆除出来たら、以下の様な対策を徹底して下さい。 ウイルスに感染していた痕跡もありましたし、 感染の原因となった問題点を是正しない限り、 いつまで経っても同じ事の繰り返しです。 本件もWindows Updateが万全なら防げた事だと思います。 　・Windows Updateの定期的な実行 　　（通常、毎月第2水曜日に新たな更新が公開） 　・ファイアウォール（ルータでも可） 　　ウイルス、スパイウェア対策ソフトの導入 　・セキュリティソフトの定義ファイル更新 　・パスワード管理の徹底 　　（個人情報や一般単語の流用は絶対に避ける 　　　桁数を多くして、数字と英大小を組み合わせる） 　・むやみにフリーソフトなどをインストールしない 　・あやしいサイトに興味本位で近寄らない 　・得体の知れないメールやファイルを開かない
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/14 09:02
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 Updateはたまにしかしていませんでした。(^^ゞ 気をつけるようにします。 あと、私もついでに書き込みます。 無事駆除できたときのポイントの件ですが、うらまないでください。優劣をつけているわけではありませんので。 皆さんのご助力、ご意見はすべて有り難いと感謝しております。m(__)m

回答
ANo.26	取り敢えず、怪しいのは↓ですね。 -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B} -------------------------------------------------- Enumerating Download Program Files: [DialUp Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTODIAL2.DLL CODEBASE = ​http://www.333999.net/AutoDial2.CAB​ [AutoConnect Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ECONNECT.DLL CODEBASE = ​http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll​ -------------------------------------------------- セーフモードでWindowsを起動後、 HijackThisでもう一度"Scan"を実行して、 O2 - BHO: (no name) - {9A2BC76A-A457-11D8-B660-00901F25D67B} - C:\WINDOWS\SYSTEM\ENBFCAA.DLL と、 O16 - DPF: の並びの中で、 [DialUp Class]と[AutoConnect Class]を持つエントリ の合計3つにチェックを入れて下さい。 それから"Fix Checked"のボタン を押して選択したエントリを削除します。 無事成功したら、今度はファイル本体の削除作業です。 以下のファイルを探して削除します。 　C:\WINDOWS\SYSTEM\ENBFCAA.DLL エクスプローラでうまくいかない場合は、 MS-DOSプロンプトから削除して下さい。 　スタート→ファイル名を指定して実行 　フォームに"command"と入力して"OK"を押す 　（プログラムメニューからも起動可） 以下の2つのコマンドを順番に打ち込んで下さい。 （一文字でも間違えているとエラーになります） 　attrib -R C:\WINDOWS\SYSTEM\ENBFCAA.DLL 　del C:\WINDOWS\SYSTEM\ENBFCAA.DLL コントロールパネル→インターネットオプション→ 全般タブ→インターネット 一時ファイル-設定→オブジェクトの表示 と開いて、表示されたフォルダの中に、 [DialUp Class]と[AutoConnect Class] がある場合は、それらを削除して下さい。 最後にAd-awareとSpyBot,CWShredderで検査して下さい。 発見されたスパイウェアは通常通り駆除します。 再起動後、↓が無くなっているかご確認願います。 　C:\WINDOWS\SYSTEM\ENBFCAA.DLLのファイル あと、HijackThisで"Scan"して、 O2 - BHO: のところにまた新たに 不審なエントリが追加されていないか探して下さい。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/14 08:54
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 hijackthisで３つのエントリの削除までは出来たのですが、ENBFCAA.DLLを検索しても出てきませんでした。 なので、MS-DOSプロンプトで削除しようと思ったのですが、文字の入力の仕方がわからないです。(・・? C:\WINDOWS>という文字が必ずでてくるため、attrib -Rを入力する事ができないです。 Ad-awareとSpyBot,CWShredderの検査を行ったところ、トップページは治ったと思うんですが、IE終了後に「不正な処理を行ったので・・・」というエラーがでます。これもアドウェア？？の仕業ですか？

回答
ANo.25	こんばんは。 ごめんなさい、#23は説明不足ですね。 環境によっては、ログの中にWindows のログイン名が含まれてしまう場合があります。 （Win98ではログイン名を設定していない人も多いです） 例えば"山田太郎さん"が正直にそのまま "Yamada Taro"というログイン名を設定していると、 ここの様な掲示板に貼り付けた際、 見た人が本名を推測する事が出来てしまいます。 それはいくらなんでも非常にまずいので、 ログを貼り付ける時は内容を一通りチェックして、 ご自分のログイン名がログ内の文字列に 含まれていないか確認して頂きたかったのです。 >(no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208} こちらは問題なさそうです。 >(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B} basser_no1さんやheto2さんの ご回答にある怪しい名前そのものですね！ 他のエントリも見てみたいので、 前述のログイン名の問題を再確認した上で、 全てのログを補足に貼り付けて頂けますでしょうか？
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/13 23:28
ログインして投票する 参考になった：0件
この回答への補足	続きです。 Listing of startup folders: Shell folders Startup: [C:\WINDOWS\スタート メニュー\プログラム\スタートアップ] FM便利ツール.lnk = C:\Program Files\Fujitsu\AUV\AUVCore.exe Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe WordLinker.lnk = C:\Program Files\ZENRIN\EmapZ2\WordLinker\SS_Linker.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run internat.exe = internat.exe ScanRegistry = c:\windows\scanregw.exe /autorun TaskMonitor = c:\windows\taskmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme LoadBtnHnd = C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe AvconsoleEXE = C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize VsStatEXE = C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING LoadQM = loadqm.exe Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
この回答へのお礼	すみません。どうぞ。 StartupList report, 04/05/14, 0:44:35 StartupList version: 1.52 Started from : C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE Detected: Windows 98 SE (Win9x 4.10.2222A) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\MY DOCUMENTS\WINSHOT\WINSHOT.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\wnlssub.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\REGEDIT.EXE C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

回答
ANo.24	heto2さん、korotekeさん　こんばんは！ ＃１７で記載された内容だと私のと一緒の様ですね。 （DLLファイル名は違いますが） 解決方法が見えて来ましたね。 (1)スタートページが表示されたら、表示→ソースを選び「res://%43%3a%5c%57%・・・」で始まる行の％％で区切られたコードをASCIIコード表を参照して解読する。 コード表の例 ​http://e-words.jp/p/r-ascii.html​ 16進の列を参照すると%43%は「0x43」で「C」と成りますので、＃２１の様にデコード出来ます。 (2)「Hijack This」等のツールを利用して解読したファイルと同名のファイルが設定されているか確認する。 この場合は「B.H.O」の行に成ると思います。 Windows98なら「msconfig」のスタートアップやwini.iniの「boot」セクションでも確認出来そうな気がしますが・・・ (3)ツールで組み込みを解除出来ない場合は検索してファイル名変更・隔離・削除し組み込めない様にする。 （COPYやRENコマンドで戻せる様にして置くと良いでしょう。） (4)ＩＥで「Ｗｅｂの設定のリセット」を実施する。 ここ迄でスタートページの問題は回復すると思います。 (5)regeditで「res://%43%3a%」や解読したDLLファイル名を検索してレジストリの該当キーを修正する。 （同じＯＳとＩＥを使用している人から正常なキーを書き出して貰って、書き戻せば楽なんですが・・・） ＜防衛策＞ 正常なレジストリのバックアップを安全な所に保存して置くか、 ​http://www.securevm.com/japan/​の「SecureVM」の様なコンテンツを実行する挙動を監視出来るソフトがあれば防げると思います。（これは９８等には対応しませんが） こんなんでどうでしょうか？
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/13 01:49
ログインして投票する 参考になった：1件
この回答への補足	ごめんなさい。上の続きです。 Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE Hidserv = Hidserv.exe run LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES SchedulingAgent = mstask.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background -------------------------------------------------- C:\WINDOWS\WININIT.INI listing: (Created 13/5/2004, 22:59:2) [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE NUL=c:\program files\netscape\netscape\uninstall\nsuninst.exe NUL=C:\WINDOWS\GREUNI~1.EXE
この回答へのお礼	こんばんは。皆さんお疲れ様です。ありがとうございます。 おっしゃっている事のほとんどが理解できません。ごめんなさい。 けど、暗号？？の解読はなんか楽しいかも。（＾ｖ＾） こんなときに不謹慎ですね。m(__)m

回答
ANo.23	新情報満載ですね。 heto2さん、お疲れさまです。(^_^) >startuplistがでてきましたが、それでよかったのでしょうか？ はい、結構です。 ログの貼り付け前に参考URLの下の方にある、 「ログイン名について」という所をご一読下さい。 場所が見つからない場合は、Ctrl + Fで （またはIEメニュー→編集→このページの検索） ページ内をキーワード検索してみて下さいね。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/13 01:35
ログインして投票する 参考になった：1件
参考URL：	​http://higaitaisaku.web.infoseek.co.jp/hijackthis.html​
この回答への補足	また、続きです。 C:\WINDOWS\WININIT.BAK listing: (Created 12/5/2004, 21:18:12) [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE -------------------------------------------------- C:\AUTOEXEC.BAT listing: SET DOS4G=QUIET C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\ /NOBREAK /SILENT IF ERRORLEVEL 1 PAUSE loadhigh c:\windows\COMMAND\nlsfunc.exe c:\windows\country.sys SET PATH=C:\FJUTY; SET PATH=%PATH%;C:\PROGRA~1\NETWOR~1\MCAFEE~1 -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208} (no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B} --------------------------------------------------
この回答へのお礼	ありがとうござます。 Enumerating Browser Helper Objects: (no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208} (no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B} これだけでいいんでしょうか？

回答
ANo.22	１．​http://js.searchx.cc/index.js?pin=1​ 　これをIEのアドレスバーにペースト ２．IEが下記表示になる 　var center_x = screen.width/2-400/2; var center_y = screen.height/2-300/2; open("​http://vn.msie.cc/popup4.php?pin=1",​ "_blank", "channelmode=0,directories=0, fullscreen=no,location=0,menubar=0,scrollbars=0, status=0,titlebar=0,toolbar=0,resizable=1, width=400,height=300,top="+center_y+",left=" +center_x); ３．​http://vn.msie.cc/popup4.php?pin=1​ 　このページを開くと脅しのポップアップが表示される 　「SPYWARE DETECTED ON YOUR PC!」 凄いじゃありませんか。 このポップアップが表示される例が幾つかありますが、ネタが暴かれたのは始めてです。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/12 19:17
ログインして投票する 参考になった：1件
この回答への補足	またまた、続きます。 Enumerating Download Program Files: [DialUp Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTODIAL2.DLL CODEBASE = ​http://www.333999.net/AutoDial2.CAB​ [SurveyCtl35 Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL CODEBASE = ​http://activex.microsoft.com/controls/mtswizards/sw35.cab​ [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX CODEBASE = ​http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab​ [AutoConnect Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ECONNECT.DLL CODEBASE = ​http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll​ [{8AD9C840-044E-11D1-B3E9-00805F499D93}] [{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]
この回答へのお礼	ありがとうございます。 残念ながら、私には理解できませんが、他の方の有益な情報になりそうです。おそらく・・・。 ポップアップはいくつか種類があるようです。「SPYWARE DETECTED ON YOUR PC!」もその一つにあったようなきがします。

回答
ANo.21	%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c C : \ W I N D O W S \ S Y S T E M \ E N B F C A A . D L L 解読すれば、上のようになりそう。 ということは、怪しいファイルはこれでしょうか？ C:\WINDOWS\SYSTEM\ENBFCAA.DLL
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/12 18:59
ログインして投票する 参考になった：2件
この回答への補足	まだまだ続きます。 [Yahoo! Audio Conferencing] InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL CODEBASE = ​http://cs.chat.yahoo.co.jp/v45/yacscom.cab​ [Update Class] InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL CODEBASE = ​http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020....​ [Yahoo! Webcam Viewer Wrapper] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL CODEBASE = ​http://chat.yahoo.co.jp/cab/yvwrctl.cab​ [Symantec RuFSI Registry Information Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL CODEBASE = ​http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab​ [Symantec AntiVirus scanner] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL CODEBASE = ​http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab​
この回答へのお礼	ありがとうございます。 解読とは・・・。驚きです。(・o・) 検索してみたら、そのようなファイルが存在しました。憎たらしい奴はこいつなんでしょうか？こいつを削除するんですか？

回答
ANo.20	「Starter」を使ってみる。 ​http://www.simtel.net/product.download.mirrors.php?id=57830​ 英語しかないので嫌われそうですが、いいソフトです。 「AppInit_Dlls」での設定が表示されないので、無理かと思っていましたが、 Win98でのレジストリ設定であれば、可能性がありそうです。 起動すると自動的にスタートアップの一覧がリストアップ表示されます。 メニューの「File」「Save as plain text」をクリック。 ファイル名を例えば「Starter0512.txt」で保存します。 私の場合で、50行くらいしかありません。 さらに、「.DLL」で検索するとスタートアップで「DLL」ファイルを使っている行を数行に絞り込めます、 その中に怪しいものがあれば「あたり」になる可能性があります。 もし失敗しても勘弁してくださいね。 他にもいろいろ便利な機能が沢山ありますので・・・
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/12 18:12
ログインして投票する 参考になった：1件
この回答への補足	ありがとうございます。 あやしいものと言われましても、見てもさっぱりです。ごめんなさい。m(__)m もうすこし私に知識があれば・・・。(._.)
この回答へのお礼	ありがとうございます。 うぅ・・。また英語ですか・・。 頑張ってやってみます。また、補足します。

回答
ANo.19	korotekeさん。heto2です。遠慮せずに気が付いたこと書き込んでください。 とにかく、被害者の方からの生の情報が一番役にたつんですよ。 他の皆さんも同じだと思いますが、出来れば中途半端で終わりたくないんです。 それと、特別な事情さえなければ、あせらずに、ゆっくり退治するのがいいと思います。 しかし、情報が盗まれている気配があるとか、パソコンの調子がどんどん悪くなっているとかであれば、復旧にこだわらず、クリーンインストールされるのが正しい選択だと思います。 実は、私も、調べれば調べるほど情報が増えるだけで解決に結びつかないので弱っています。 かなり混乱して来たので、一旦、整理してみることにしました。 １．「about:blank」 　このページを乗っ取るアドウエアには何種類かある。 　CoolWebSearch系のものと、それ以外のもの 　CoolWebSearch系にも何種類かある。 ２．「AppInit_Dlls」 　OSが2000/XPでは、このレジストリ値を使うことがある。 　OSが9x/Meでは、このレジストリキーは存在しない。 　従って、別のところに潜んでいるスパイを見つける必要がある。 　 ３．「searchx.cc」 　このケースではスタートページに「Search for」という文字列があることから、「CWShredder」が取り上げている「searchx.cc」の可能性が強い。 　しかし、「CWShredder」では解決できない。 　 　下記サイトで紹介されているページと同じものと思われる。 　​http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=al2&am...​ 　 ４．実験１ 　​http://searchx.cc/​ 　この場合、「Search for」で始まるページになるが、不完全。 　 ５．実験２ 　​http://searchx.cc/search.php​ 　よく似たページになるが、「Search for」でなく「Looking for」 　 ６．Google検索 　「searchx.cc/」で検索すると情報がワンサカ。 　多すぎて混乱中です。 　 ７．注目記事 　​http://www.computing.net/windowsxp/wwwboard/forum/102521.html​ 　 　このページのResponse Number 13に面白い情報があります。 　「Find-All」というツールを使って怪しげなファイルを検出する方法です。 　他にも「pv.exe」（ProcessView）を使う方法があるようですが、検出される情報量が多すぎて、解析は難しそうです。 　 ということで、このあと「Find-All」の使い方でも書こうかなと思っています。 >CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。 これに関する情報があればいただきたいところですが。 （スキャン終了後に表示される情報）
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/12 17:30
ログインして投票する 参考になった：1件
この回答への補足	変な形になりましたが、これで最後です。管理者に消されないか不安・・。 -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL -------------------------------------------------- End of report, 7,238 bytes Report generated in 0.661 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only
この回答へのお礼	ありがとうございます。 私のような無知な人間には難しすぎて何が何やらです・・・。(・・? 毎回引っかかるやつです。。 CWS.Searchx REMOVED Restoring Internet Explorer pages RESTORED(6items) Clearing up orphaned leftovers done! これでいいのかな？

回答
ANo.18	>HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。 という事は違う種類かもしれませんね。 いずれにしても、ログは必要なので、 #17さんの方法で保存を試してみて下さい。 こちらへ貼り付ける際、 ログが長い場合は分割してくださいね。 ここの書き込みは、補足欄1000文字、 お礼欄2000文字までという制限がありますので...。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/12 13:55
ログインして投票する 参考になった：1件
この回答へのお礼	ありがとうございます。 そんな制限があるんですね。知らなかったです。φ(..)メモメモ startuplistがでてきましたが、それでよかったのでしょうか？

回答
ANo.17	これはウイルスでは無いので「怪しいアプリケーションをスキャン」という様なオプション検索が出来ないと見つからないと思います。 Hijack Thisのログがセーブ出来ないなら、Config→MiscTools→「Generate StartupList log」を押してもログファイルが開きますのでセーブして下さい。 ログファイルで「Enumerating Browser Helper Objects:」の項目にフルパスで記載されていると思います。 heto2さんのおっしゃる通りページの表示は「Search for」だったかも知れません。 何せ連日の寝不足モードで、無意識にログも消しちゃった位なので記憶も曖昧です。 (^^; そのページのURLですが、しっかりエンコードされてたハズです。 korotekeさん、スタートページが開いたら「表示」→「ソース」を選び「res://」の行を掲載して下さい。 res://で始まる行がレジストリにセットされてましたので。 >どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ korotekeさん一人の問題じゃありませんから、そんなに気にする必要は無いですよ。解決すれば多くの人が助かる有益な情報に成ると思いますので。
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/12 01:29
ログインして投票する 参考になった：1件
この回答へのお礼	ありがとうございます。 href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c/" これのことでしょうか？ちがったかな？それともこっちかな？ script src="​http://js.searchx.cc/index.js?pin=1"​

回答
ANo.16	>「INSTALL.LOGがオープンしません」となります。 はて、どうしてでしょう...。(^_^;) #15のURLの解説通り、新規フォルダを作成して、 そこにHijack Thisのプログラムを入れていますか？ 取り敢えずスキャンまでは完了していますよね？ HKLM\..\RunServicesOnce（#15の省略形） という箇所が無いかまずは探してみて下さい。 見つかったら、そこに出ているDLLファイル名や、 パス（C:\Windows...の様な場所情報）を教えて下さい。 >ウイルス検査にはシマンテックのウイルス検査を行いました。 ノートン製品版か体験版でのスキャンですか？ オンラインウイルススキャンだと#13さんの方法は無理です。 >システムの復元ってやつが見つからないです。 システムの復元はWindowsXP&Me専用の機能です。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/11 23:18
ログインして投票する 参考になった：1件
この回答へのお礼	ありがとうございます。 ウイルス検査はオンラインスキャンでした。すみません。 >システムの復元はWindowsXP&Me専用の機能です。 ふむふむ、なるほど。XPとMeって便利なんだ。φ(..)メモメモ HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。

回答
ANo.15	こんにちは、korotekeさん。 回答者#12さんのURLを見ての情報ですが、 そちらのスパイウェアと同種だとすると、 Win98では、比較的楽に駆除出来るみたいです。 Hijack Thisでシステムをスキャンして、 以下のレジストリキーを確認してみて下さい。 　HKEY_LOCAL_MACHINE\Software\Microsoft 　　\Windows\CurrentVersion\RunServicesOnce そこに怪しいDLLファイルが登録されていれば、 （判断は難しいので補足で相談された方が良いでしょう） 正確にファイル名と存在場所をメモします。 あとはセーフモードでシステムを起動して、 該当ファイルと↑のレジストリ項目を削除です。 なお、作業は全て自己責任でお願いします。 一番のお薦めは勿論リカバリですが...。 あと、CWShredderは既にお試しになったんですよね？ CWShredder ​http://higaitaisaku.web.infoseek.co.jp/removecws.html​ Hijack This ​http://higaitaisaku.web.infoseek.co.jp/hijackthis.html​ >#12さん AppInit_DllsはWindows9xには無いみたいですよ。 Windows2000/XP上で真の凶悪さを発揮する様です。
回答者：noname#6461
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/11 09:32
ログインして投票する 参考になった：2件
この回答への補足	ちょい補足です。!(^^)! CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。CWShredderでは解決しないようです。
この回答へのお礼	ありがとうございます。 CWSherdderを試してみました。しかし状況は変わらないみたいです。使いこなせてないのかもしれませんが・・・。 Hijack Thisはsave logをクリックして保存すると「INSTALL.LOGがオープンしません」となります。こっちのほうは完全に使いこなせていないです・・。恐縮ですが、Hijack Thisの使い方を教えていただければ幸いです。

回答
ANo.14	頑張って、難問解決に挑戦しようじゃありませんか！ 解りにくいことについては、及ばずながら、全力で応援します。 １．ウィルスチェック 　まだ、このウィルス（正確にはアドウエア）に対応していないと思います。 　幾つかのツールを使って、手作業で、修復する必要があるでしょう。 　 　今の所、「Spybot-S＆D」や「Ad-aware 6」は使わないでください。 　後述の「HijackThis」でのデータが「no file」とか「file missing」等、不完全な表示になってしまいます。 　 ２．ウィルスプログラムの特定（BHO関連） 　basser_no1さんご説明のように、このウィルスはIEのBHO（Browser Helper Object）を使っていると思います。 　「HijackThis」を使って、「O2 - BHO:」で始まる行を全て貼り付けてください。 　 ３．ウィルスプログラムの特定（AppInit_Dlls関連） 　「並」のウィルスの場合、BHO関連で有害な設定を削除し、プログラムを削除するだけで修復できます。 　しかし、削除しても、いつの間にか復活してしまうことがあります。 　この場合、No.6で説明のとおり「AppInit_Dlls」を使っている可能性があります。 　そしてその都度ファイル名を変えて出現します。 　 　レジストリエディターで下記のキーを開いて右側の画面に「AppInit_Dlls」という項目が無いか調べてください。 　ただし、レジストリの編集は非常に危険ですので事前にバックアップを作成して置いてください。 　 以上で、有害なファイルを特定できれば、削除作業へ進めると思います。 また、ページの表示は「Search of」でなく「Search for」では無いでしょうか？ ご確認ください。 取り敢えず、今回はこの辺で・・・ basser_no1さんへ 不躾なお願いですが、もしよろしければ、応援いただければ助かります。 特に、そのページのURLが解らなくて困っています。 多分、アドレス欄には「about:blank」しか表示されていないと思います。 プロパティとかソースを開ければ・・・　しかし、削除されたんであれば無理ですね。 以上、よろしくお願いいたします。 参考:レジストリバックアップ 　１．「スタート」「ファイルを指定して実行」で「Regedit」 と入力して「OK」。 　２．レジストリエディターのメニューで、「ファイル」「エクスポート」をクリック。　３．レジストリファイルのエクスポート画面下方の「エクスポート範囲」で「すべて」を選択。 　４．保存する場所（例えばマイドキュメント）とファイル名（日付がいいでしょう）を入力して「保存」 参考:「HijackThis」 ​http://www.spywareinfo.com/~merijn/downloads.html​ １．起動直後は殆ど白紙の状態です。 ２．左下の「Scan」をクリック ３．スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。 ４．「SaveLog」をクリックするとメモ帳が開かれ、適当なファイル名で保存できます。。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/11 08:52
ログインして投票する 参考になった：1件
この回答へのお礼	皆様、ほんとにありがとうございます。 どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ ページの表示は「Search of」でなく「Search for」でした。すみません。m(__)m 今、色々試してあたふたしている所です。結果についてはまた補足したいと思っています。

回答
ANo.13	何度も書いてますが、私と同じなら既知の方法では解除出来ませんし、heto2さん言われている通り解決方法を掲載している所は未だ無いと思います。私も昔はユーザーサポートをやってた経験上、考えられる事は一通り試してますから・・・ウイルス検査は私の記載した方法でしました？（どのソフトを使いました？） ＜想定される解決方法＞ 「HijackThis」でも解除出来ませんでしたので、「BHO」として検出されたＤＬＬファイルを探し隔離もしくはリネームして解除出来るか確認し、効果があればそれらを削除する。 「Ｗｅｂの設定のリセット」もその都度合わせて実行する必要があろうかと思います。 ＜実際に解決した方法＞ アンチウイルスソフトも総てが対応するとは言えないのですが、解決事例として私は「McAfee ウイルス スキャン」のスキャンオプションで「怪しいアプリケーションをスキャン」と「新しいウイルスと未知のウイルスをスキャン」をチェックする事によって検出されたＤＬＬファイルを削除し解除出来ました。（定義ファイルが古いと検出されません。） この後、「HijackThis」で解除出来なかったＢＨＯの記述が削除出来る様に成りましたので削除しました。 ＤＬＬファイルは複数ありましたので、名前も変化して行くのだと思います。
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/11 00:18
ログインして投票する 参考になった：2件
この回答へのお礼	ありがとうございます。 ウイルス検査にはシマンテックのウイルス検査を行いました。 basser_no1さんの方法も試してみたいと思います。結果はまた補足します。

回答
ANo.12	私は「無知な人間にアレコレ指図して優越感に浸りたい」という人間です。 しかし、無知な方の数百倍は勉強しているつもりです。 特に「about:blank」については、ここ2週間、世界中の情報を調べまくっています。 この問題は多分、スパイウェア対策の日本総本山のような定番サイト【アダルトサイト被害対策の部屋】でもまだ解決されていないと思います。 「CWShredder」も「Ad-aware 6」も対応していないとおもいます。 しかし、調べてみると、私でも解る仕掛けですから時間の問題です。 解決のヒントは下記のサイトにあります。 ​http://www.spywareinfo.com/forums/index.php?showtopic=43492&st=30​ 世界中のBBSでこの種のウィルスへの感染が報告されていますが上記のサイトで解決策が報告されたのはごく最近のことです。 １．IEのBHO機能を使ってスタートアップページを変更させている ２．BHOに使われる「DLL」ファイルの名前はその都度別の名前になる。 ３．「HijackThis」等を使ってBHOの設定を解除するのは簡単である。 問題は削除したはずのものがパソコンを再起動すると再発することです 秘密は、通常あまり使わ無いレジストリキーを使っているらしいことでした。 新種のウィルスの場合、感染者の協力を得て情報を集める必要がありますが・・・ >ん〜。ごめんなさい。素人な者で何が何やら・・・。てんてこ舞いです。(・_・;) 残念ながら、一寸無理のようでした。
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/10 08:36
ログインして投票する 参考になった：2件
この回答への補足	ごめんなさい。せっかく紹介していただいたサイトですが、これを理解するにはまず英語を理解する必要があるようです。ほんとバカですいません。m(__)m
この回答へのお礼	ありがとうございます。 では、No.6で紹介していただいた方法で治るということなんでしょうか？ それと、この場を借りて少し補足します。No.4で紹介していただいたウイルス検査をもう一度してみたら、「安全です」ってなりました。けど、状況は変わらないです。(+_+) heto2さんの言っているウイルスにかかっちゃってるんでしょうか？

回答
ANo.11	バックアップレジストリも壊れてるのでは最悪ですね。 「McAfee ウイルス スキャン」でも導入した方が良いと思います。（ウイルスでは無い為ソフトによっては検出されないので）＊ちなみにこの会社とは何の関係もありません。 スタートページが「Search of〜」と成るなら私と同じタイプだと思います。確か「bclgrea.dll」ファイルが関係してた様な気がしますので検索して見つかったら名前を変えて見て下さい。（９８と2000では違うかも知れませんが） ＜事前設定＞ エクスプローラのフォルダオプションで「すべてのファイルを表示する」へ変更と「登録されている拡張子の表示をしない」のチェックを外す設定をしないとこれらのファイルは表示されません。 まぁ、出来るなら再インストールした方が良いと思いますよ。 ただ、再インストールが簡単な様に聞こえますがWindows98を搭載してた頃のＰＣでそれが出来る人を初心者とは呼びません。 理由は (1)ＣＤ-Ｒ等が付いて無いので大きなファイルのバックアップが取れない。 (2)リカバリに必要なＣＤが複数枚あり場合によってはプロダクトキーコードやドライバＣＤが見つからない。 (3)リカバリされた時点でのＩＥのバージョンが低くてWindowsUPDATEがスクリプトエラーに成り実行出来ないし、ServicePackの供給も終わってるのである程度スキルが無いと元に戻せない。 まぁ出来たとしても修復より膨大な時間が掛かるケースが多いです。 最新ＰＣのお手軽リカバリとは違いますので、「再セットアップ」は最後の手段だと思って下さい。 （もうほとんど最後に近いですね。(^^;　） もっとも、出荷時のバグだらけの環境で使うなら物さえ揃っていれば比較的簡単にリカバリ出来ますがね。 再セットアップ前に必要な物が揃っているか確認してから実行して下さい。幸運を祈ります。 （利用者レベルの方であれば、プロに任せる方が良いでしょうね。）
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/10 01:32
ログインして投票する 参考になった：1件
この回答へのお礼	ありがとうございます。 あっ、それです。それ！「Search of〜」ってやつです。けど、「bclgrea.dll」は見つかりませんでした。OSが違うせいかな？ やっぱり諦めるべきですかね・・？トホホ・・・。 っていうか、あきらめ悪いかな？ちょっとしつこいですね。ご協力していただいてほんとに有り難いです。m(__)m

回答
ANo.10	スパイウェアにも様々なタイプがありますが、未だレジストリ復旧をして無いのなら試しに実行して見て下さい。（自信が無いならやらない事。） ＜９８でのレジストリ復旧方法＞ (1)必要なファイルのバックアップを取る。 (2)「MS-DOSモード」を起動するか、起動時に「F８」を押して起動メニューから、「command prompt only」を選択後に「ＳＣＡＮＲＥＧ　／ＲＥＳＴＯＲＥ」と入力し実行します。表示された候補から正常だった時期の日付のモノを選択してＯＫを押して下さい。 例　Ｃ：￥＞ＳＣＡＮＲＥＧ　／ＲＥＳＴＯＲＥ ＜お手軽な方法＞ (1)まず今後の事も考えてアンチウィルスソフトを購入する。（McAfeeウイルススキャンなら量販店もしくはダウンロード販売で２千円程度） (2)インストールしたら最新のパターンファイルに必ず更新する。（先月迄のモノでは検知されませんでした。） (3)オプション設定の総てを有効にする。 (4)検出されたら「Ｗｅｂの設定のリセット」を実行する。 Windows98だとWindowsかSystemフォルダだと思いますが、総てのフォルダに対してスキャンして下さい。 また、WindowsUPDATEを実施して更新ファイルが無いのを確認して下さい。 私は連休直前に今迄で最強のヤツにWindows2000がやられて他に紹介されている方法等、一週間試行錯誤を繰り返してもダメでした。起動プロセスを一つずつ止めたり、バックアップレジストリでの復旧や上書きセットアップも無駄でお手上げでしたが、ウィルススキャンでそれまで検出されなかったモノが見つかり解決した次第です。 残念ながら複数のモノにやられてたのと、その時のメモ＆ログを誤って消してしまった為、詳細な記述が出来ません。(^^;
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/09 21:14
ログインして投票する 参考になった：2件
参考URL：	​http://homepage2.nifty.com/winfaq/c/trouble.html#77​
この回答へのお礼	ありがとうございます。 試してみましたが、ダメでした・・。(/_;) 古い日付のものから試したんですが、復旧できませんでしたってなって最後の一つを試してみたんですが、状況は変わらずです。残念。

回答
ANo.9	スタートからすべてのプログラムを出し、アクセサリーをクリックしてシステムツールからシステムの復元を実行して回復しました。 一度お試し下さい。
回答者：noname#7811
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/09 19:33
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 システムの復元ってやつが見つからないです。 古いからかな？？(ーー;)

回答
ANo.8	スパイウェアですね、ＩＥの設定や関連のレジストリを削除しようがＩＥを終了した時点で書き戻すタイプでしょう。 こいつは、Ad-aware等の類を使っても検出されませんので最新エンジンと定義ファイルに更新されたアンチウィルスソフトで、未知のウィルス等総てのオプションを有効にして、Windowsのシステムフォルダを検索して見て下さい。「不要と思われるファイル」等として検出されると思います。 Win2000やＸＰではsystem32フォルダへ「xxx.ＤＬＬ」等が作成されていると思いますので削除若しくは隔離後、ＩＥ「Ｗｅｂ設定のリセット」を実行して見て下さい。
回答者：basser_no1
種類：アドバイス どんな人：経験者 自信：自信あり
回答日時： 04/05/09 13:54
ログインして投票する 参考になった：1件
この回答へのお礼	ありがとうございます。 えっと、それはIEをアップデートして最新のアンチウイルスソフトを購入するって事なんでしょうか？ それと、使っているOSは98です。system32フォルダにはDLLファイルはないみたいです。

回答
ANo.7	スパイウェアについて簡単にまとめた私の投稿があります。参考URLをご覧ください。後半部分で駆除作業についても触れています。 上記投稿内容との重複になりますが、スパイウェア対策の日本総本山のような定番サイト【アダルトサイト被害対策の部屋】のページ「被害対策手順」 ​http://higaitaisaku.web.infoseek.co.jp/menu1.html​ にあることを、 ★★★　自力で１つ残らず全部実施　★★★ してください。なお、上記ページを読んだ上で「初心者だから難しいことは分かりません」とおっしゃる方には、OSの再インストールをお勧めします。これで、ウィルスやスパイウェアの問題はすべて一気に解決します。OS再インストールによって失うデータや設定があったとしても、今までセキュリティ対策を怠ってきたツケだと思って諦めましょう。 その後は必ずウィルス対策ソフトを導入、参考URLとそのリンク先を熟読してスパイウェア感染防止の心構え（読めない外国語のサイト、特にアダルトサイトを閲覧する場合には、その結果何が起こっても自力で解決すること！など）を固めた上で、SpywareBlasterやIE-SPYADというスパイウェア「予防」ツールの導入をお勧めします。 「これを機会にPC全般やスパイウェア駆除の専門的知識を身に付けるぞ！」というのでない限り、手間隙かけた修復作業はお勧めできません。あくまでも修復を勧める「詳しい人」の中には、自分では意識していなくとも「無知な人間にアレコレ指図して優越感に浸りたい」という人がいないとも限りませんし。 もちろん、修復方法について研究する人たちの成果があってこそ、我々もスパイウェア対策を固めることができるのは事実です。しかし、あくまでも道具としてPCを使う一般人の我々にとっては、苦労して下手な修復作業（何らかのダメージを残すかもしれない）を行うより、OS再インストールの方が簡単・確実な場合もあります（特に、大量のウィルスやスパイウェアに感染しているケースなど）。 駆除方法を含めたスパイウェア情報は、検索エンジンを使えばたくさん見つかります。この掲示板内をサーチしてもたくさん見つかります。あとは、 ★　ご自分にとって最も効率が良いと思われる方法を主体的に判断して実行　★ なさってください。 【追伸】about:blankはCoolWebSearch感染の典型的症状のようですが、CWShredderは実行されましたか？　また、Ad-awareもCoolWebSearchの変種に対応したアップーデートを行っています。Ad-awareの定義ファイルは最新になっていますか？
回答者：WindowsUpUp
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/09 13:47
ログインして投票する 参考になった：1件
参考URL：	​http://oshiete1.goo.ne.jp/kotaeru.php3?q=843462​
この回答へのお礼	ありがとうございます。 やっぱり再インストールしかないんですかね。色々試してみてそれでもダメだったらそうします。(:_;)

回答
ANo.6	「StartupList」を下記でダウンロードして使ってください。 　​http://www.spywareinfo.com/~merijn/downloads.html​ 　解凍して起動するとダイアログが表示されます。 　「はい」で自動的にメモ帳が起動され、スタートアップリストが表示されます。 　リストの中ほどで下記の行を探して貼り付けてください。 　一番怪しいのが、最後の行の「AppInit_DLLs」です。 　ここの設定によってパソコンを起動するたびに「about:blank」が呼び出されている可能性があります。 　 　-------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load= HKLM\..\Windows NT\CurrentVersion\WinLogon: run= HKLM\..\Windows\CurrentVersion\WinLogon: load= HKLM\..\Windows\CurrentVersion\WinLogon: run= HKCU\..\Windows NT\CurrentVersion\WinLogon: load= HKCU\..\Windows NT\CurrentVersion\WinLogon: run= HKCU\..\Windows\CurrentVersion\WinLogon: load= HKCU\..\Windows\CurrentVersion\WinLogon: run= HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run= HKLM\..\Windows NT\CurrentVersion\Windows: load= HKLM\..\Windows NT\CurrentVersion\Windows: run= HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= --------------------------------------------------
回答者：heto2
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/09 08:19
ログインして投票する 参考になった：2件
この回答へのお礼	ありがとうございます。 ん〜。ごめんなさい。素人な者で何が何やら・・・。てんてこ舞いです。(・_・;)

回答
ANo.5	＞こいつを削除をしたんですが、 ＞やっぱり治りません。うぅ・・。 ＞なんか、インターネットオプションの ＞全般タブの標準設定が既にいじられてるみたい。 IEのツール→インターネットオプションから 「プログラム」タブで、「Webの設定のリセット」をクリック ダイアログが出るので 「ホームページもリセットする」 にチェックを入れて「はい」をクリックしてみて それでも直らなければ補足頂戴ね。
回答者：ittochan
種類：回答 どんな人：一般人 自信：参考意見
回答日時： 04/05/09 06:41
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 やってみましたが、やっぱり無理みたいです。 今のトップページはアドレスがaboutblankってなっていて、英語ばっかりのページになってしまってるんです。 それと、標準設定は自力で試行錯誤しながらレジストリをいじって直しました。ヽ('ー'#)/ けど、そのままＯＫをクリックして、再起動するとまたaboutblankになっているんです。(+_+) それともう一つ忘れてました。ツールバーの検索をクリックしたら横に出てくる奴？？も英語ばっかりなんです。設定しなおしてもやっぱり再起動すると戻っちゃうんです。(:_;)

回答
ANo.4	#2さんの方法で設定しなおしても、書き換えられてしまう為、 お困りなんだと思います。 先ず、念の為にWindows Updateを適用し、可能であれば セーフモードとネットワークで起動。 セキュリティソフトをお持ちで無い様なので、↓のページで オンラインスキャン。 ​http://www.symantec.com/region/jp/securitycheck/​ （他にも同様のサイトがありますが、ここのページと提携してるので。 ​http://www.symantec.com/region/jp/techsupp/okweb/index.html​） たいていのものは検出が出来るので、見つかったものを↓のウィルス辞典の （検索では無く）アルファベット順インデックスより探して駆除方法を試す。 これで多分…解決出来ます。出来るといいですね…。 ​http://www.symantec.com/region/jp/sarcj/vinfodb.html​
回答者：JunNa
種類：回答 どんな人：経験者 自信：参考意見
回答日時： 04/05/09 02:20
ログインして投票する 参考になった：1件
参考URL：	​http://www.symantec.com/region/jp/securitycheck/​
この回答への補足	もう一回検索してみたところ、やっぱりトロイの木馬にやられちゃってるみたいなんです。 その名前で検索してファイルを削除したんだけどなぁ？？？けどやっぱりおんなじ名前のウイルスにかかってるみたい。ちゃんと削除できていないのかな・・・？
この回答へのお礼	ありがとうございます。 どうやらトロイの木馬にやられちゃったみたいです。 しかし、こいつを削除をしたんですが、やっぱり治りません。うぅ・・。 なんか、インターネットオプションの全般タブの標準設定が既にいじられてるみたい。 もう一回検索してみます。

回答
ANo.3	ウイルスは普通のソフトと同じ「プログラム」で、 悪い動作を起こすものをそう呼んでいると思ってください セーフモードで起動し、 #2さんの方法でトップを書き換え セーフモードのままブラウザを起動すれば大丈夫でしょう で、僕が用いる駆除の方法です 通常モードで起動します [Ctrl]+[Alt]+[Delete]で [タスクマネージャ]を起動し [プロセス]タブを見ます 何か明らかに怪しいものはありませんか？ あったら、 (セーフモードのほうが良い) そのファイル名で検索を掛け 駆除方法を探し、駆除します
回答者：noname#6715
種類：アドバイス どんな人：経験者 自信：参考意見
回答日時： 04/05/09 02:14
ログインして投票する 参考になった：2件
この回答へのお礼	ありがとうございます。 通常モードで起動します [Ctrl]+[Alt]+[Delete]で [タスクマネージャ]を起動し [プロセス]タブを見ます 何か明らかに怪しいものはありませんか？ 残念ながら見てもわかんないんです。なにせ初心者な者で。

回答
ANo.2	以下の方法を見落としていませんか？ ツール ↓ インターネットオプション ↓ 全般 ↓ ホームページ でホームとして使用するページを設定できます。
回答者：deadcell
種類：アドバイス どんな人：一般人 自信：参考意見
回答日時： 04/05/09 01:59
ログインして投票する 参考になった：0件
この回答へのお礼	ありがとうございます。 それもやりました。けどダメなんです。また再起動すると元にもどっちゃうんですぅ・・。（／。＼）

回答
ANo.1	ウィルス対策ソフトで全検査してみましたか？ インターネット一時ファイルをすべて削除してみましたか？ OS、IEのバージョンは？
回答者：sero
種類：補足要求 どんな人：一般人 自信：参考意見
回答日時： 04/05/09 01:55
ログインして投票する 参考になった：1件
この回答へのお礼	ありがとうございます。 言い忘れしましたが、結構な初心者なんです。 バージョンは6.0だとおもいます。答えになってないかな・・？

• このQ&Aをともだちに紹介する
• このQ&Aをブックマークする
• このQ&Aについてブログを書く

• このQ&Aは役に立った
• 役にたった：0件

最新から表示｜回答順に表示｜良回答のみ表示

スポンサーサイト（詳細）

• JCOPカード少量購入？ - JCOP10￥800,JCOP20￥950、開発キットもあります

はじめてガイド｜使い方ガイド ｜FAQ ｜サービスポリシー