こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

[スパイウェア]どのBHOがあやしいか。

書き換えられる部分:
Search Assistant

書き換えられる値:
ランダムっぽい。少なくても毎回違うところ。

----以上spybot常駐時----

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

----以上Hijack Thisの中からあやしそうな奴---

[症状]
(IEのトップはYahooJPになっていた。)
前日、わけあって、
Yahooツールバーを追加し始めたが、時間が異様に長いのでCtrl+Alt+Deleteで脱出
その後、YahooJPにアクセス

Spybotから妙に多くポップアップされる。
Yahooとのやりとりかと思っていくつか許可したかもしれない(←多分これが原因)
結果、数個アイコンがデスクトップに配置されており
IEにはバー(青っぽい)が追加されている。

即、spybotで検索をかけたところ、CoolWWWSearchとあったため
「これが、巷で有名な・・・」と思いつつ、修正。
Spybotには検索されないものの、
予想どおり直っていないので、CoolWebShredderを使ったが検出されず。
そこで、HijackThisでログをとり、
賢者の回答を待つことにした

投稿日時 - 2004-08-04 07:35:31

QNo.950335

暇なときに回答ください

質問者が選んだベストアンサー

最近「BHO」を使ったアドウエアが増えています。

★ブラウザーハイジャック
スタートアップや検索ページをハイジャックして広告会社のページ等を強制的に表示させるものです。

☆「HijackThis」
簡単な仕組みのものは「HijackThis」だけでも駆除できます。
下記で始まる行の中に怪しい設定が表示されます。
 O2 - BHO:
 O4 - HKLM\..\Run:
 O4 - HKCU\..\Run:
 O4 - HKLM\..\RunServices:
 O4 - HKCU\..\RunServices:
 O16 - DPF:
 
★O4 [DashMags]
 殆ど情報がありません。
 こういう場合、このファイルのプロパティを調べます。
 「会社名」「製品名」が空白の場合削除してみます。

★O9 Extra button:Related -{c95fe080-8f5d-11d2-a20b-00aa003c157a}-C:\Windows\web\Related.htm
 Related.htmを開いてみます。
 
★O16 DPF:{DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C}
 これだけでは解りません。
 参照されるURLやファイル名を見て判断します。

☆urlmon.dll
 ファイルのプロパティを調べると正規のファイルだとわかります。
 削除すると何が起こるかわかりません。
 
★ttp://directplugin.com/tl7000.dll
 一寸危険ですが、そのURLへアクセスしてみます。
 多分、tl7000.dllをダウンロードする設定と思います。
 
今回のBHOでは「O16 - DPF:」は使われていないかもしれません。
複合汚染の可能性があるんではないでしょうか。

色々勉強して、スパイウエア、ウィルスの撃退にご協力ください。

投稿日時 - 2004-08-04 11:07:36

補足

駆除したと思ったら復活。
余計なものまでさらに消したかもしれない(汗)

そーいえば、いろいろ消してったらCD/DVD関係が
何かおかしくなったなぁ(おぃ)

(自分のマシンではなく兄のマシンですが)
ぱっと見わからない項目が多く、
スパイウェアっぽいわけでもない
(いつもタスクマネージャで起動しているファイル名ばかりいくつも見かける)

で、復活して困っていて、ふと
コントロールパネルのプログラムの追加と削除がありました→駆除完了。

あ、示していただいた方法、かなり参考になりました!

投稿日時 - 2004-08-06 02:46:18

ANo.3

このQ&Aは役に立ちましたか?

1人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.2

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

FlashGet関連のポンカス
「Fix」推奨

投稿日時 - 2004-08-04 07:58:54

補足

Fixしました

投稿日時 - 2004-08-04 08:05:50

お礼

以下#1のお礼すべて消したらバーが消えました!
ありがとうございました!

#中には消してはいけないものもあったかもしれないが

投稿日時 - 2004-08-04 08:42:29

ANo.1

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll

ただし、これだけでは直りません。

投稿日時 - 2004-08-04 07:52:39

補足

セーフモードから起動して、
ファイルを別な場所に移動させました。

・・・ご指摘どおり直っておりませんね

・・・これだけでは直らないってことなので
追加できそうな情報を判断してみます

※一気にログを貼り付けることもできたけど
これやるととても長くなるため。
また、自分の勉強にもあまりならないし。

投稿日時 - 2004-08-04 08:06:15

お礼

お礼欄に書くのも変ですが
あやしそうなもの

O4 [DashMags] C:\Progra~1\ITCH CASH\CHIC ELSE.exe
O9 Extra button:Related -{c95fe080-8f5d-11d2-a20b-00aa003c157a}-C:\Windows\web\Related.htm
O16 DPF:{DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} -
があやしそうです

urlmon.dllとか
http://directplugin.com/tl7000.dll
あやしそうですが

投稿日時 - 2004-08-04 08:25:09

あなたにオススメの質問