【分析】HijackThis【研究】
at SEC
1:名無しさん@お腹いっぱい。
04/08/01 16:52
CWShredder、Ad-aware、SpybotS&Dを使ったけどスパイウェアが除去できない、
そんな時にスパイウェアを手動で除去できるHijackThisについて研究・分析するスレッドです。
Merijn.org(本家)
URLリンク(www.spywareinfo.com)
【関連リンク】
Hijack Thisによるレポート出力と手動でのスパイウェア除去
URLリンク(higaitaisaku.web.infoseek.co.jp)
HijackThisログ解析入門
URLリンク(higaitaisaku.web.infoseek.co.jp)
HijackThis Entry Database
URLリンク(higaitaisaku.web.infoseek.co.jp)
HijackThisに現れるスパイウェアの例
URLリンク(higaitaisaku.web.infoseek.co.jp)
HijackThisに現れる問題ないエントリーの例
URLリンク(higaitaisaku.web.infoseek.co.jp)
【関連スレッド】
エロサイト見たら…助けてください!Part35
スレリンク(pcqa板)
【総合】スパイウェア予防駆除 Part4
スレリンク(sec板)
スパイウェア゛削除゛ソフト「Ad-aware」Part13
スレリンク(sec板)
【雑談禁止】スパイウェア削除ソフトSpybot 15
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
04/08/01 16:54
2
3:ぼるじょあ ◆yBEncckFOU
04/08/01 16:54
(・3・) エェー 3ですYO
4:1
04/08/01 16:57
ぼるじょあたんキタ━━━(゚∀゚)━━━ !!!!!
スレリンク(pcqa板:572番)
スレリンク(pcqa板:582-586番)
やっぱこの話の内容、すげー気になるよね。
俺はかちゅユーザーなんだけどこういう設定できるのかなぁ。
5:1
04/08/01 17:09
エロサイト見たら・・・スレから要約したものを転載です。
>ゾヌ2のアクションの置き換えを使用
>Aboneのブラクラリスト機能を使用
>Live2chでは、スクリプトで置き換え
これらを使う事で、HijackThisを貼った結果がこんな風に表示できるようになる…らしい。
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe
↓
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ← ▲nCase( URLリンク(higaitaisaku.web.infoseek.co.jp) )
詳しい設定方法とかを教えてもらえるとありがたいです。
この表示されているものって、ひとつひとつ手入力ですか?
それとも、被害対策部屋か何かから引っ張ってくるんですか?>向こうのスレの531=532=533=544さん
6:531=532=533=544
04/08/01 17:20
自分は一つ一つ手入力です。(面倒です)
ゾヌ2でアクションで指定文字を含むの場所に
\WINDOWS\Alevir.exe
と書いて、動作置き換えの場所に
\WINDOWS\Alevir.exe ← ▲WORM_OPASERV.F( URLリンク(www.trendmicro.co.jp) )VName=WORM_OPASERV.F
といった感じで記入して、有効にする板を全てにします。
データはひたすらROMに回って集めたり、
被害対策部屋の部屋やSpywareInfoのフォーラムから引っ張ってきたりもします。
SpywareInfoのフォーラム
URLリンク(forums.spywareinfo.com)
7:1
04/08/01 17:23
>>6
なるほど、地道な作業の積み重ねなんですね。
このスレッドで、ぞぬ2用とかAbone用とかLive2ch用とか、
このスレ住人で協力して置き換えデータベースみたいなのを
作れるといいかも。
8:531=532=533=544
04/08/01 17:27
>>7
自分の置き換えデータなら、
アップしてもいいですよ。(NGワード)
ただし実行は自己責任でお願いします。
その場合アップロダを指定していたただければサンプルとして、
提出します。
9:1
04/08/01 17:30
∧_∧
((´∀` /^)531=532=533=544さん
/⌒ ノ
γ (,_,丿ソ′
i,_,ノ |||
バンザイ バンザイ ヤッター アリガトー
∧_∧ ∧_∧ ∧_∧ ∧_∧
(^(,, ´∀`)) ・∀・)(ヽ )')((・∀・ /')
ヽ /ヽ ノ ヽ ノ ノ ノ
ノ r ヽ / | / O | ( -、 ヽ
(_,ハ_,),_,/´i,_,ノ (,_,/´i,_,ノ し' ヽ,_,)
さっそくアプロダ探してきます
このスレッドで、どんどんデータを蓄積できるように協力しますよ
10:1
04/08/01 17:41
>>8
2ちゃんねるアプロダはどうでしょ?
URLリンク(up.isp.2ch.net)
はいいろさんがもしこっちのスレに来てたら、まとめサイトに
置いといて欲しいですね。
11:531=532=533=544
04/08/01 17:50
>>10
アップしました。
/up/cf627671dd5a.zip
上のファイルをゾヌ2内の\users\ユーザ名\ngres.txtと入れ替える。
注意点があります。このファイルを使って、
2ちゃんねるを見ると普通の表示状態と全く変わってしまいます。
かならずバックアップを取って、
鑑定スレやエロサイトスレで実験してから使ってください。
また一応プライパシーデータであるのでパスを掛けました。
HijackThis
12:1
04/08/01 18:09
いっぺんに何人もダウンロードしているヨカソ
全然反応がないや(´・ω・`)ショボーン
しばらく待ってみて後でダウンロードしてみます(・∀・ )
13:名無しさん@お腹いっぱい。
04/08/01 21:25
いつまで待ってもダウンロードできる様子がありません。゚(゚´Д`゚)゚。
他の人で>>11をダウンロードできた人っていますか?
14:名無しさん@お腹いっぱい。
04/08/01 21:33
>>13
落とせたよ。
時間大分掛かったけど、サイズが小さいから
鯖自体が重くなってファイルにアクセスできない
のではないかな、気長に再挑戦してください。
15:名無しさん@お腹いっぱい。
04/08/01 21:33
>>13
ダウンロードできたので別のところにそのままうpした。
URLリンク(borujoa.s27.xrea.com)
こっちのうpろだのほうが軽いよ。
URLリンク(borujoa.s27.xrea.com)
16:名無しさん@お腹いっぱい。
04/08/01 21:34
>>15のがまずかったらすぐ消すわ。
17:13
04/08/01 21:37
キタ━━━(゚∀゚)━━━ !!!!!
ありがとう、あなたもネ申です。
今何人ぐらいの人が持ってるんですかね、このツール。
カバーしてない分とかを、みんなでどんどん情報出していきましょう。
18:13
04/08/01 22:10
テストしてみました、結果良好です。
でもぞぬ2はやっぱり重いですね(;´Д`)
19:名無しさん@お腹いっぱい。
04/08/01 23:22
特定のハンドルのトリップや、
ブラクラなんかも置き換えられている。
どうやらこの人、もと鑑定スレの鑑定士なんじゃないかな?
20:1
04/08/01 23:47
かちゅで同じような事ができないかどうか模索中・・・
だってぞぬ2重い・・・
21:名無しさん@お腹いっぱい。
04/08/01 23:47
せっかく提供してくれたんだ、興味本位な詮索は辞めて
データを活用することを考えませんか。
基本的な活用方法とか、追加した方がいいデータとか
22:名無しさん@お腹いっぱい。
04/08/01 23:54
>>21
個人的に追加したいなーというデータは
被害対策の部屋のHijackThisデータベースの網羅かな。
どのぐらいをカバーしているのかがまだ不明ですが。
23:名無しさん@お腹いっぱい。
04/08/02 00:01
>>21
他の2chブラウザでも、同じような置換フィルタを作っていきませんか?
たぶんみなさんそれぞれ2chブラウザを使ってる種類、違うんじゃないかな?
24:名無しさん@お腹いっぱい。
04/08/02 08:40
エロサイト見たら…助けてください!Part35
スレリンク(pcqa板:666番)
向こうのお客さん依頼を貼り付けておきます。
だれか見てあげてください。
Logfile of HijackThis v1.98.0
Scan saved at 7:32:22, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Onetouch V1.0\EzButton.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\yvedbcwi.exe
C:\WINDOWS\System32\conime.exe
25:名無しさん@お腹いっぱい。
04/08/02 08:42
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\corujesh.exe
C:\Documents and Settings\kanji\デスクトップ\HijackThis\HijackThis.exe
C:\Documents and Settings\kanji\My Documents\いろいろ\ぶらうざ\openjane-0.1.11.0\Jane2ch.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [onetouch] c:\Program Files\Onetouch V1.0\EzButton.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
26:名無しさん@お腹いっぱい。
04/08/02 08:43
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
O4 - HKLM\..\Run: [pezmjumr] C:\WINDOWS\System32\yvedbcwi.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [arodkn] C:\WINDOWS\arodkn.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hdvml] C:\WINDOWS\System32\corujesh.exe
O4 - Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Jane2ch へのショートカット.lnk = ?
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Super Mapple Digital - カスタム情報記入 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/110
O8 - Extra context menu item: Super Mapple Digital - 地図検索 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/109
O8 - Extra context menu item: 携帯に送る(&K)... - URLリンク(www.ikehouse.co.jp)
O9 - Extra button: マップル - {381F73A9-29D0-45B6-88D7-F82C4BCED5D3} - C:\Program Files\Super Mapple Digital Ver.4\MappleBand.dll
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=URLリンク(prius.hitachi.co.jp)
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
27:名無しさん@お腹いっぱい。
04/08/02 08:44
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: v2cab - URLリンク(searchmiracle.com)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!URLリンク(213.159.117.133)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - URLリンク(public.windupdates.com)
O16 - DPF: {32A46776-9D08-11D2-AB61-D757626CD108} (IEAutoTool.IEAutoInput) - file://C:\Documents and Settings\kanji\デスクトップ\DOSVDX\200308\FREE\ieat1314\IEATool.CAB
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - URLリンク(www.advnt01.com)
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
28:名無しさん@お腹いっぱい。
04/08/02 08:44
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E}
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}
29:名無しさん@お腹いっぱい。
04/08/02 08:52
>>◆UkZAUUIUs.
以前にこの人キンタマに感染している。
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
ny使っているのなら、診断対象外。
30:名無しさん@お腹いっぱい。
04/08/02 08:54
>>29
誤爆しました・・・_| ̄|○
31:名無しさん@お腹いっぱい。
04/08/02 09:18
>>29
向こうの677でし。この人、ウィルスチェックやってねーって事か(;´Д`)
釣り人ではなさそうだけど、自己責任かなーという気もしますね。
向こうの674のHijackThis指示は大間違いですよってのは気づきましたが、
キンタマとぬるぽは気づきませんでした(変なエントリだな?とは思いましたが)。
まだ俺も修行足らないな(;´Д`)俺もヤブ医者にならないよう精進せねば。
32:29
04/08/02 09:32
>>31
04のO4 - HKLM\..\Run: [ara-key] .....
ってやつは百発百中でキンタマウイルスです。
また、まだウイルス定義の対応していないヌルポース2
(私はnyの作者ですというやつ)はWindowsの標準環境に、
似たエントリーを叩きだします。
自分が特別に診断して下は笑った例。
O4 - HKLM\..\Run: [System] C:\WINDOWS\Exploder.exe
よくみるとExpolerではなくExploderというのがポイント。
33:名無しさん@お腹いっぱい。
04/08/02 09:43
>>32
向こうに出すべきだった指示
「おてぃんてぃんを高速でしごけば直せます(゚∀゚)」
キンタマウィルスはデータベースに入れました、情報提供ありがとうございます。
34:名無しさん@お腹いっぱい。
04/08/02 10:49
EliteBar情報
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 36.dll
データベースに登録するには、
\WINDOWS\EliteBar\EliteBar version 37.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
\WINDOWS\EliteBar\EliteBar version 36.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
EliteBar version 36.dllの場合もあった。
まだ、Ad-AwareやSpybot-S&Dが対応していない可能性のあるスパイウェアです。
指示はFixさせた後に再起動。起動後にEliteBarフォルダをゴミ箱に移させて、
もう一度Ad-Awareを実行させて念のためゴミ掃除させます。これで解決を得ています。
35:エロサイトスレの736です
04/08/02 22:38
宜しくお願いします。
Logfile of HijackThis v1.98.0
Scan saved at 22:25:06, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fujitsu\sa\de\jsharp\bin\SBRSVC.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
36:エロサイトスレの736です
04/08/02 22:43
続きです
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCSRVC.exe
C:\Program Files\Fujitsu\MyMedia\MyMedia Server\mediaserver.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Fujitsu\chitose\chitose.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\hgchcwii.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ChIntCal\CHINTCAL.EXE
C:\WINDOWS\System32\igfxext.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fujitsu\sa\bin\mpbtn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\Local Settings\Temp\hijackthis.zip の一時ディレクトリ 3\HijackThis.exe
37:エロサイトスレの736です
04/08/02 22:45
続きです
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D} - C:\WINDOWS\System32\bilcmavq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
38:エロサイトスレの736です
04/08/02 22:47
続き
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe"
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
39:エロサイトスレの736です
04/08/02 22:49
O4 - HKLM\..\Run: [FMVランチャー] C:\fjuty\wallbtn\FMVLauncherKicker.exe
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
40:エロサイトスレの736です
04/08/02 22:49
以上です。
O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - URLリンク(security.symantec.com)
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - URLリンク(download.sfd.co.jp)
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - URLリンク(security.symantec.com)
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
41:名無しさん@お腹いっぱい。
04/08/02 22:53
俺は分析するつもりはないが、HijackThisがアップデートされてるから報告。
HijackThis 1.98.1
URLリンク(forums.net-integration.net)
42:エロサイトスレの736です
04/08/02 22:53
続いてアンインストールプログラムのログその一です
---------- UNINSTALLPROGRAMLIST
"DisplayName"="Ad-aware 6 Personal"
"DisplayName"="Agere Systems AC'97 Modem"
"DisplayName"="ダイヤルアップ チェッカー"
"DisplayName"="DivX Codec"
"DisplayName"="DivX Player"
"DISPLAYNAME"="Microsoft DirectX Transform optional components"
"DisplayName"=""
"DisplayName"=""
"DisplayName"="ギコナビ"
"DisplayName"="Internet Explorer Q867801"
"DisplayName"="@フォトレタッチ"
"DisplayName"="@メニュー"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="PC乗換ガイド"
"DisplayName"="@映像館"
"DisplayName"="PowerUtility"
"DisplayName"="SanrioTinyPark"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="KARUGARUnet 4.0"
43:エロサイトスレの736です
04/08/02 22:54
その二です
"DisplayName"="Windows XP ホットフィックス - KB810217"
"DisplayName"="Windows XP Hotfix (SP2) [See KB810243 for more information]"
"DisplayName"="Advanced Networking Pack for Windows XP"
"DisplayName"="Windows XP ホットフィックス - KB818332"
"DisplayName"="Windows XP ホットフィックス - KB820291"
"DisplayName"="Windows XP ホットフィックス - KB821253"
"DisplayName"="Windows XP ホットフィックス - KB822603"
"DisplayName"="Windows XP ホットフィックス - KB823182"
"DisplayName"="Windows XP ホットフィックス - KB824105"
"DisplayName"="Windows XP ホットフィックス - KB824141"
"DisplayName"="Windows XP ホットフィックス - KB824143"
"DisplayName"="Windows XP ホットフィックス - KB825119"
"DisplayName"="Windows XP ホットフィックス - KB826367"
"DisplayName"="Windows XP ホットフィックス - KB826939"
"DisplayName"="Windows XP ホットフィックス - KB826942"
"DisplayName"="Windows XP ホットフィックス - KB828035"
"DisplayName"="Windows XP ホットフィックス - KB828741"
"DisplayName"="Windows XP ホットフィックス - KB833407"
"DisplayName"="Windows XP ホットフィックス - KB835732"
"DisplayName"="Windows XP ホットフィックス - KB837001"
"DisplayName"="Windows Media Player Hotfix [詳細については、KB837272 を参照してください]"
"DisplayName"="DirectX 9 修正プログラム - KB839643"
"DisplayName"="Windows XP ホットフィックス - KB839645"
"DisplayName"="Windows XP ホットフィックス - KB840315"
"DisplayName"="Windows XP ホットフィックス - KB840374"
"DisplayName"="Windows XP ホットフィックス - KB841873"
"DisplayName"="Windows XP ホットフィックス - KB842773"
"DisplayName"="Microsoft Data Access Components KB870669"
"DisplayName"="LiveReg (Symantec Corporation)"
"DisplayName"="LiveUpdate 1.90 (Symantec Corporation)"
44:エロサイトスレの736です
04/08/02 22:56
その三
"DisplayName"="窓の手 2004"
"DisplayName"="Medi@Show"
"DisplayName"="Microsoft .NET Framework (JPN) v1.0.3705"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package(JPN) v1.0.4205"
"DisplayName"="MyMedia (remove only)"
"DisplayName"="MyMedia Server (remove only)"
"DisplayName"="OASYS Viewer V8"
"DisplayName"="OCNスタートパック"
"DisplayName"="Outlook Express Q823353"
"DisplayName"="OpenMG Limited Patch 3.3-03-10-05-01"
"DisplayName"="OpenMG Limited Patch 3.3-03-08-27-01"
"DisplayName"="Windows XP Hotfix (SP2) Q322011"
"DisplayName"="Windows XP Hotfix (SP2) Q327979"
"DisplayName"="Windows XP Hotfix (SP2) Q810090"
"DisplayName"="Windows XP Hotfix (SP2) Q811147"
"DisplayName"="Windows XP Hotfix (SP2) Q814995"
"DisplayName"="Windows XP Hotfix (SP2) Q815917"
"DisplayName"="Windows XP Hotfix (SP2) Q818213"
"DisplayName"="Windows XP Hotfix (SP2) Q818654"
"DisplayName"="Windows Media Player Hotfix [詳細については、Q828026 を参照してください]"
"DisplayName"="RealOne Player"
"DisplayName"="Shockwave"
"DisplayName"="Spybot - Search & Destroy 1.3"
45:エロサイトスレの736です
04/08/02 23:00
その四
"DisplayName"="Start! @homepage"
"DisplayName"="Norton Internet Security (Symantec Corporation)"
"DisplayName"="Viewpoint Media Player (Remove Only)"
"DisplayName"="FMモバイルスイッチャー "
"DisplayName"="IBM ホームページ・ビルダー 7 ライト"
"DisplayName"="筆ぐるめ Ver.11"
"DisplayName"="GW-NS54GM"
"DisplayName"="IndicatorUtility"
"DisplayName"="ODN Signup Software"
"DisplayName"="Norton Internet Security"
"DisplayName"="AOL"
"DisplayName"="@拡大ツール"
"DisplayName"=""
"DisplayName"="@フォトレタッチ"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package 1.1"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="Visual J# .NET Redistributable Package"
"DisplayName"="FM かんたんバックアップ"
"DisplayName"="Google Toolbar for Internet Explorer"
"DisplayName"="PC乗換ガイド"
"DisplayName"="WebFldrs XP"
"DisplayName"="DION (KDDI)"
"DisplayName"="OpenMG Secure Module 3.3"
"DisplayName"="Norton AntiSpam"
"DisplayName"="@niftyでインターネット"
"DisplayName"="筆王"
"DisplayName"="DVDfunSTUDIO"
"DisplayName"=""
"DisplayName"="Microsoft Windows Journal ビューア"
46:エロサイトスレの736です
04/08/02 23:01
その五
"DisplayName"="Norton Internet Security"
"DisplayName"="アップデートナビV1.1L20"
"DisplayName"="Norton Internet Security"
"DisplayName"="ワンタッチボタン設定"
"DisplayName"="Norton Internet Security"
"DisplayName"="@nifty環境設定ユーティリティ"
"DisplayName"="富士通サービスアシスタント(マニュアル&サポート)"
"DisplayName"="Norton AntiSpam"
"DisplayName"="Microsoft Office Home Style+"
"DisplayName"="時事通信社「家庭の医学」デジタル版U"
"DisplayName"="@映像館"
"DisplayName"="Microsoft .NET Framework (JPN)"
"DisplayName"="Symantec Network Driver Update"
"DisplayName"="@料金表示"
"DisplayName"="PowerUtility"
"DisplayName"="SigmaTel AC97 オーディオ ドライバ"
"DisplayName"="百年プリント@コニカ注文用ソフトウェア"
"DisplayName"="Intel(R) Extreme Graphics 2 Driver"
"DisplayName"="GAMEPACK2004F"
"DisplayName"="Microsoft Office Personal Edition 2003"
"DisplayName"="Powered Internet[POINT] サインアップツールV1.0"
"DisplayName"="InterVideo WinDVD"
"DisplayName"="Norton Internet Security"
"DisplayName"="Realtek RTL8139/810x Fast Ethernet NIC Driver Setup"
"DisplayName"="WEB便利ツール"
"DisplayName"="SanrioTinyPark"
"DisplayName"="DVD-RAMドライバー"
"DisplayName"="ALPS Touch Pad Driver"
"DisplayName"="Visual J# .NET Redistributable 1.1- Japanese Language Pack"
47:エロサイトスレの736です
04/08/02 23:04
その六
"DisplayName"="CC_ccProxyMSI"
"DisplayName"="BIGLOBEでインターネット"
"DisplayName"="Plugfree NETWORK "
"DisplayName"="Norton Internet Security"
"DisplayName"="Adobe Reader 6.0 - Japanese"
"DisplayName"="Microsoft .NET Framework 1.1 Japanese Language Pack"
"DisplayName"="FlashAid"
"DisplayName"="@コントローラ"
"DisplayName"="DVD-MovieAlbumSE 3"
"DisplayName"="ATLAS 翻訳パーソナル 2004 LE (ホームページ翻訳専用)"
"DisplayName"="FUJITSU 音声合成"
"DisplayName"="Norton AntiVirus"
"DisplayName"="Microsoft .NET Framework 1.1"
"DisplayName"="Symantec Script Blocking Installer"
"DisplayName"="So-net簡単スターターV2.3"
"DisplayName"="CC_ccStart"
"DisplayName"="ccCommon"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="ツボ リラックス"
"DisplayName"="BeatJam"
"DisplayName"="@FTP"
48:エロサイトスレの736です
04/08/02 23:06
長くなりましたがこれで最後です。
"DisplayName"="@メール"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVオンラインユーザー登録"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="MotionDV STUDIO"
"DisplayName"="うれしレシピ"
"DisplayName"="Norton Internet Security"
"DisplayName"="MSRedist"
"DisplayName"="Microsoft Windows XP CD 書き込みウィザード HighMAT Extension"
"DisplayName"="てきぱき家計簿マム4"
"DisplayName"="プロアトラスW2"
"DisplayName"="マップサーバースイッチャー"
"DisplayName"="乗換案内 時刻表対応版"
"DisplayName"="柿木将棋V Light"
"DisplayName"=""
49:エロサイトスレの736です
04/08/02 23:10
大変長くなりましたが、識者の皆様、>>35->>40、>>42->>47を
どうか宜しくお願いします。
50:名無しさん@お腹いっぱい。
04/08/02 23:14
分析と研究はするが、助言をするかは判らない。
スレタイとか、ここまでの流れを見てれば判るよね?
51:エロサイトスレの736です
04/08/02 23:37
>>50
わかります。客観的なご意見をいただけるだけでも有り難いと思っております。
52:名無しさん@お腹いっぱい。
04/08/02 23:38
>>48
家計簿やるなよ
53:名無しさん@お腹いっぱい。
04/08/02 23:43
出来るだけ、鑑定してやらないと
協力してくれる人居なくなるぞ。
54:名無しさん@お腹いっぱい。
04/08/02 23:44
>>50 ( ´_ゝ`)
>>51 マジレスしない
今HijackThis見ている人って、俺以外で何人いらっしゃいますか?
フィルターに引っかかっている問題ありエントリーはなしで、フィルターの
表示なし分を調べ中です。ちょっと(もしかしたらかなり)俺は時間かかるかも。。。
55:名無しさん@お腹いっぱい。
04/08/02 23:53
俺以外で何人いらっしゃいますか?
>いないみたい
56:名無しさん@お腹いっぱい。
04/08/03 00:59
>>55 工エェ(´Д`)ェエ工
>>35-48さん 一応の分析結果です。フィルタ以外のもののみ。(フィルタは全て問題なしです)
googleでも一切ヒットしないもの
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
googleでヒットはあるが、情報がないもの
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
富士通関連のもの
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
Microsoft Office関連のもの
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
不明情報のみあるもの
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - URLリンク(download.sfd.co.jp) ←▲HijackThis 016List Bエントリー(評価未定)
お好みで取捨(被害対策の部屋)
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 ← ▲IME関係エントリー、好みで取捨(被害対策)
問題なしエントリ
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - URLリンク(security.symantec.com) ←●HijackThis 016List Aエントリー(問題なし)
57:56
04/08/03 01:03
>>56の続きです。
googleで検索しても出てこないBHOがやや?ですが、FIX指示を出す程の根拠はないので今のところは放置。
同じく情報のない04エントリー(Tars)も、一応今のところは放置。
未分類の016エントリー(DreamTechnologies MADO Image Viewer Control)も今のところは放置。
後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。
つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。
もし不安を感じるようでしたら、以下のスレッドに目を通してみて、
フリーのアンチトロイソフトを導入してみてもいいかもしれません。
もしかしたらノートン先生が見逃していたトロイが引っかかるかも?
☆☆トロイの木馬☆☆2台目
スレリンク(sec板)
あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので
必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。
58:56
04/08/03 11:49
>>57の続きです。
他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな?という感じです。
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。
覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。
(HijackThisのディレクトリと同じところにありますから、きっと>>35-48さんは「C:\Documents and Settings」に
色々とダウンロードしたファイルを置いてらっしゃると思いますので)
59:名無しさん@お腹いっぱい。
04/08/03 16:00
PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。
宜しくお願いします。以下が現在のものとなります。
Logfile of HijackThis v1.98.0
Scan saved at 16:00:23, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
60:59
04/08/03 16:01
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ARVEL\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
C:\WINDOWS\SYSTEM\INTERNST32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NECTVRC\TVRC.EXE
C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE
C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE
61:59
04/08/03 16:02
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}
O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196}
O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196}
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
62:59
04/08/03 16:07
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: SmartVisionリモコン.lnk
O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - URLリンク(www.mt-download.com)
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
以上です。OSは先のとおりMeです。
症状はホームページがwww.selfsearch.comに指定されてしまい、
ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。
また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。
たとえば>>57で書いてあるURLのリンクもmoreporn.bizとなってしまっています。
VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。
現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。
自己責任でやりますので、何方か宜しくお願いいたします。
63:仮HN
04/08/03 16:28
誘導されてきましたのでお願いします。
●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります
●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。
以下ログです。
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
64:仮HN
04/08/03 16:28
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\hh64orPE.exe
C:\WINDOWS\System32\pjjkvkt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\winmm64.exe
C:\Documents and Settings\kim\Application Data\sacb.exe
C:\WINDOWS\System32\soq.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
65:仮HN
04/08/03 16:29
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5386日前に更新/463 KB
担当:undef