5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【スパイウェア】CoolWebSearch 対策

1 :名無しさん@お腹いっぱい。:05/01/08 14:51:38
進化し続けるこのスパイウェアついて語るスレ

関連
ブラウザーを乗っ取ってポルノをばらまく悪質なスパイウェア
http://hotwired.goo.ne.jp/news/news/20040513204.html
http://hotwired.goo.ne.jp/news/news/20040514207.html

2 :名無しさん@お腹いっぱい。:05/01/08 15:18:49
>4月最後の日曜日、マリア・デルジオーノさんはとうとうさじを投げた。ノートパソコンの電源を切り、
>そっと聖母マリア像の下に置いたのだ。
> 「もう、こうするしかないと思った」と、曾孫(ひまご)のいる67歳のデルジオーノさんは言う。

ワロタよ

3 :名無しさん@お腹いっぱい。:05/01/08 15:40:22
シュレッダー使えば?

4 :名無しさん@お腹いっぱい。:05/01/08 15:43:59
>>1
また随分と古いニュースソースだな。情報価値0。

対策はこの辺でどうぞ
【CWShredder】SpySubtract【スパイウェア除去】
http://pc5.2ch.net/test/read.cgi/sec/1102961989/
スパイウェア゛削除゛ソフト「Ad-awareSE」Part17
http://pc5.2ch.net/test/read.cgi/sec/1101032528/
スパイウェア削除ソフトSpybot 19
http://pc5.2ch.net/test/read.cgi/sec/1104392281/

5 :名無しさん@お腹いっぱい。:05/01/08 15:58:04
pc初心者板のスレ見てると全部試しても効果ないみたい>>4


6 :名無しさん@お腹いっぱい。:05/01/08 16:01:29
SpybotもAd-awareもすり抜けてるな。

7 :名無しさん@お腹いっぱい。:05/01/08 16:20:50
スパイウェアって画像をみただけで感染することってあるの?

8 :名無しさん@お腹いっぱい。:05/01/08 17:29:19
あるよ

9 :名無しさん@お腹いっぱい。:05/01/08 21:23:02
数々の修羅場をくぐった俺でさえCOOLだけはだめぽ。。

10 :名無しさん@お腹いっぱい。:05/01/08 21:29:40
>>7
ないよ! スパイウェアってウイルスじゃない。

11 :名無しさん@お腹いっぱい。:05/01/08 22:29:05
もう3度もクリーンインスコしちゃった。

12 :名無しさん@お腹いっぱい。:05/01/09 08:26:27
PestPatrol入れて検索したら、メモリの中にもCoolさんが潜んでいて
それを削除したら2度と感染しなくなりましたけど・・・

13 :名無しさん@お腹いっぱい。:05/01/09 10:46:22
宣伝乙

14 :名無しさん@お腹いっぱい。:05/01/10 20:03:43
どう頑張っても治らん・・。
最インスコしか道はないのか??

15 :名無しさん@お腹いっぱい。:05/01/11 19:10:41
長い戦いの結果、結局リカバリますた。疲れたっす。

16 :名無しさん@お腹いっぱい。:05/01/11 19:41:29
CoolWebShredder(下サイトの真ん中のやつ)でも、あきませんか?

ttp://www.intermute.com/spysubtract/cwshredder_download.html

17 :名無しさん@お腹いっぱい。:05/01/11 20:27:38
↑無理だって。
ウイルスも含めて現在最強のスパイウェア。
感染したら助かるのはクリーンインスコ(か復元)のみ。


18 :名無しさん@お腹いっぱい。:05/01/12 03:45:53
Ad-awareSEあたりが対策してアップデートされるの待つか・・・

19 :名無しさん@お腹いっぱい。:05/01/12 15:40:04
coolのアップデートのほうが早いべ。


20 :名無しさん@お腹いっぱい。:05/01/12 20:24:34
まじどうにもならんな

21 :名無しさん@お腹いっぱい。:05/01/17 02:18:25
ちくしょう、いつの間にかかってやがった・・・

22 :名無しさん@お腹いっぱい。:05/01/17 18:28:27
CoolwwwSearclYexeはSpybot、CWShredder使っても削除できなかった
結局システム復元で直した。以後対策としてSpywareBlaster、Microsoft Windows AntiSpywareを入れた



23 :名無しさん@お腹いっぱい。:05/01/17 18:31:07
1、復元ポイントを作っておく
2、IEでエロサイト探索したければアクティブxとJavascriptは切っておく
これ重要



24 :名無しさん@お腹いっぱい。:05/01/17 18:35:45
CoolWebShredderは何の役にもたたない糞ソフト、こんなもの宣伝してる奴は糞野郎だ


25 :名無しさん@お腹いっぱい。:05/01/18 10:58:56
>>3
>>5
一応CWSシュレッダーがCoolWebSearch除去専用で、アップデートで対応パターン
を頻繁に更新している。

ただCool〜って派生がどんどんと出てきて追いつかないみたい。
だから>>24みたいにキレるDQNが出てくる。

完全に除去できない場合でも。SpybotやAdawareで検知できないものを発見して
一旦除去するだけまし。
未対応のCoolは除去後ふかーつしてしまうけどね。

26 :名無しさん@お腹いっぱい。:05/01/18 13:25:05
感染したサイト教えてくれもれがいって感染するか試してみる。
漏れfirefox。




27 :名無しさん@お腹いっぱい。:05/01/18 13:25:51
とおもったが怖いのでやめた


28 :名無しさん@お腹いっぱい。:05/01/18 14:03:22
>>27
yhoo.comで検索してエロサイト徘徊してみ一発だよ
その際active-xはonにしないと駄目だよ

29 :名無しさん@お腹いっぱい。:05/01/18 14:04:20
yahoo.comです、27は腰抜けか?


30 :名無しさん@お腹いっぱい。:05/01/18 19:52:40
http://hobby7.2ch.net/test/read.cgi/occult/1102339538/
このスレの>>200で踏んで地獄を見た。

31 :名無しさん@お腹いっぱい。:05/01/18 20:29:39
>>30
踏んでみたが俺のシステムでは感染しない、MSのアンチスパイウェアはいれといて損はないよ


32 :2代目くろ:05/01/18 21:51:44
アウトルック江クスプレスでユザヘの切り替えパスワード忘れました
誰返しえて


33 :名無しさん@お腹いっぱい。:05/01/19 01:34:26
>>31
すばらすい・・・
やはり予防が一番だな。

34 :名無しさん@お腹いっぱい。:05/01/19 21:17:22
Win98SEに感染したCoolを試行錯誤しながら手動除去成功しますた。
長い戦いだった…( ノД`)・゜・

参考になるかもしれないので、一応カキコ。

#カキコその1

■感染したタイプ
CWS.Bootconf
CWS.Svchost32

■症状
1.定期的にIEが立ち上がりサイトに飛ばされる。(idgsearch.com,ignet.comなど)
 ジャンプ先はhostsに書いてある。
2.CWSshredderでRemoveしても復活。
3.HijackThisで怪しいエントリーを削除すると一旦駆除できたかのように見える。
 CWSshredderでScanしてもFOUNDしなくなる。
 しかしリブートすると、復活してしまっている。

35 :名無しさん@お腹いっぱい。:05/01/19 21:21:32
#カキコその2

■CWS動作の考察
1.ネットで検索してCWS.Bootconf、CWS.Svchost32の感染ファイルや手動対策法
 を見たが当てはまらない。派生型のCWSらしい。
2.HijackThishostsを

36 :名無しさん@お腹いっぱい。:05/01/19 21:25:58
スマソ。間違ってリターンを押してしまった・・

#カキコその2

■CWS動作の考察
1.ネットで検索してCWS.Bootconf、CWS.Svchost32の感染ファイルや手動対策法
 を見たが当てはまらない。派生型のCWSらしい。
2.HijackThisでhostsを削除するとExplorerが落ちる場合がある。
 →Explorerが書き換えられている?
3.ブート時に「設定ファイルを更新しています」と表示される。
 →CWSファイルが削除された際に偽装ファイルから再インストールしているらしい。
4.SafeモードではCWSshredderで一旦削除できて、リブートするまで復活しない。

37 :名無しさん@お腹いっぱい。:05/01/19 21:50:43
#カキコその3

5.「設定ファイルを更新しています」と表示されるのは、シャットダウン時にwininit.iniを
 書き換えてCWSを再インストールしているからで、iniファイルを削除すれば復活できず
 (゚д゚)ウマーかと思い、フロッピーで起動してwininit.iniを探すがない…
 が、wininit.bakを覗いてみると[rename]セクションに NULL=MXCRLREV.dll(このファイルを
 削除するコマンド)が書いてあった。
 MXCRLREV.dllがCWS本体かと思ったら、このファイルは存在しない…

 ブート→シャットダウン→フロッピーでブートを繰り返して挙動を見てみると、ぬるぽされている
 ファイルはWOSDMOE2.dll、MXCRLREV.dllなどとその都度異なっている。
 CWSはブート時に毎回wininit.bakを読んで、書き換え・復活をしているらしいが、書かれている
 ファイル名は暗号化されているようだ。

6.PlocessExplore(フリーウェア)でプロセスモニターでは表示されない、プロセスを通常モード、
Safeモード時に確認してみる。
 比較してみると、rundll32.exe、systray.dllがどうもぁゃしぃ=CWSに書き換えられているような
 感じ。

7.Windowsのdirを見てみると、kernell32.dllとexplorer.exeのサイズが正規のものと違っているのを
 発見。

8.システムとレジストリのバックアップを取りながらいじっているうちに、定期的にmcicda.drv,
winaspi.dll,ddeml.dllのバージョンが古いというエラーメッセージが出るのに気付く。
 wininit.bakに書いてあったファイル名が暗号化されたファイルっぽい感じ。


38 :名無しさん@お腹いっぱい。:05/01/19 22:09:38
#カキコその4

9.HijackThisで
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d55c787bfc077ac3aafd2d0af793b0985c23de18c2579930b34aba17e18fd81c08b0c41827e82af1b62c394df099b3811391647a3a8f82af42:3bbea7f298c43c243d3d9b8c6939a0c7
など入れた覚えのないエントリーを数個発見。
削除するとhostsの復活がリブートするまで無くなる。

■手動駆除開始
1.HijackThisで9で示したような見覚えのないエントリーを削除。
2.CWSshredderでREMOVE
3.システムCDのcabファイルから以下のファイルを適当なフォルダーに解凍しておく。
 ※cabも検索できるファイルツールを使うと便利。
[windows]
explorer.exe
rundll32.exe, rundll.exe
systray.exe
[windows\system]
kernel32.dll, krnl386.exe
mcicda.drv, winaspi.dll, ddeml.dll
 ※時間が無かったので、細かく確認せず怪しそうなファイルはとりあえず削除してます。
  スマソ。

  

39 :名無しさん@お腹いっぱい。:05/01/19 22:11:53
#カキコその5

4.ブートフロッピーでプート。c:\windows内のwininit.bakと3.と同じ名前のファイルを削除する。
 explorer.001というような感じでエクステンションが〜.001、〜.org、〜.defというCWSの
 バックアップが存在する場合もあるので、それも合わせて削除。

5.3で解凍しておいたファイルを削除したファイルと同じdirにコピーする。

6.フロッピーを抜きブートするとCWSが削除キタ━━━━━━(゚∀゚)━━━━━━!!
 となるはずでつ。


あくまでも漏れが感染したCWSの駆除法だけど、派生種でも似たような手順で対策できる
可能性は高いです。

40 :名無しさん@お腹いっぱい。:05/01/19 22:14:53
★おまけ
アメリカのサイトで見つけた原種の対策手順。
簡単な英語なので読めばわかると思う。

■CWS.Bootconf
*Manual Removal
Follow these steps to remove CWS.Bootconf from your machine. Begin by backing up your registry and your system, and/or setting a Restore Point, to prevent trouble if you make a mistake.
Stop Running Processes:
Kill these running processes with Task Manager

*Stop Running Processes:
systemroot+\system\bootconf.exe
systemroot+\system32\bootconf.exe

If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\syspnp, delete it and reboot the machine immediately.

*Clean Registry:
Remove these registry items (if present) with RegEdit:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\syspnp

*Remove Files:
advapi32.def
bootconf.asm
bootconf.txt
dllimport.inc
kernel32.def
systemroot+\default.css
systemroot+\system\bootconf.exe
systemroot+\system32\bootconf.exe


41 :名無しさん@お腹いっぱい。:05/01/19 22:15:39
■CWS.Svchost32

*Stop Running Processes:

Kill these running processes with Task Manager:

svchost.exe
systemroot+\system\svchost32.exe
systemroot+\system32\svchost32.exe
Remove Files:

*Remove these files (if present) with Windows Explorer:

svchost.exe
systemroot+\system\svchost32.exe
systemroot+\system32\svchost32.exe

42 :名無しさん@お腹いっぱい。:05/01/19 23:33:18
>>34-41
カキコ途中かもしれないけどお疲れ。
もしものときに参考にします。

43 :名無しさん@お腹いっぱい。:05/01/19 23:36:17
補足カキコ。

漏れの場合、IEをジャンプさせるCWS本体は「おそらく」カーネル、エクスプローラー、
rundll32.exeだったと思う。
残りは削除・復活対策に必要なファイル群。

ネットにアクセスするCWSのモジュールはrundll32.exeに埋め込まれていたもよーん。
FWがrundll32.exeのネットアクセスを感知したので、ネットアクセス・フラグを全て禁止
に設定したら、検索やエロサイトへ勝手にジャンプしなくなった。

FWを切るとジャンプするわけだけど、駆除するまでの間はこれで凌げるから試してみそ。

44 :クッキー:05/01/19 23:55:47
ダークロリータはFire foxにた効きにくいみたいですよ。
JAVAとスクリプトをオフにした状態で2回踏んでしっまたけど大丈夫だった。

ダークロリータの情報とその危険なURLリスト↓
http://foffo-gunkanmaki.hp.infoseek.co.jp/mini/20040901.html

45 :名無しさん@お腹いっぱい。:05/01/19 23:59:03
Ad-Aware SE でも Spybot でも駆除できずあきらめていたら
Microsoft AntiSpyware で駆除できたよ

スキャンに時間かかったけど・・・

46 :名無しさん@お腹いっぱい。:05/01/19 23:59:32
そもそもIEだけがブラウザハイジャックされるような・・・・

47 :名無しさん@お腹いっぱい。:05/01/20 11:04:10
>>46
そもそもIEのセキュリティーホールを利用していると知らない厨でつか?

48 :名無しさん@お腹いっぱい。:05/01/20 21:31:46
>>44
今はもう、それの送信元サイトにはExploitコード仕込んだ
スパイウェアインストール用のウィルスファイルはありませんよ

49 :名無しさん@お腹いっぱい。:05/01/20 21:35:25
>>44
裸のIE6SP2でも全然平気 XP_SP2

50 :名無しさん@お腹いっぱい。:05/01/24 21:08:02
エロサイト巡回してたらこれにかかった。
いろいろ対処を考えたけど女を作ればイイとオモた。

51 :名無しさん@お腹いっぱい。:05/01/24 21:44:31
>>45 の言うとうり
Microsoft AntiSpyware で駆除できたよ
英語版だけどね

52 :名無しさん@お腹いっぱい。:05/01/25 18:23:44
そんな面倒なことせずに復元すれば一発だろ。

53 :名無しさん@お腹いっぱい。:05/01/26 18:07:20
自分も何回かやられては、入れなおしとか散々苦労したクチ。

3日くらい前に、再度やられて、もうどうしようもなくて、
その上、ちょっと今色々理由があって、入れなおしする余裕がなかったんだけど、
Ad-Aware SEの昨日付け(25日)のアップデートで、なんと削除できました。
それまでの同ソフトでも、CWSでも、ダメだったんだが。

まだ苦しんでいる人は、お試しあれ。

54 :名無しさん@お腹いっぱい。:05/01/26 18:20:35
>>53
本当に削除出来てる?

55 :53:05/01/26 19:01:18
>>54
一応、再起動しても大丈夫。それまでは、Win再起動じゃなくて、IE再起動だけで元に戻ってた。
AD-Awareで、色々削除する歳、システム(system32フォルダ)に、
それまで出こなかったもんがいくつか出てきたので、その辺に、元ファイルがあるんじゃないかと。
もし仮に再発したとしても、随分の進捗です。

56 :名無しさん@お腹いっぱい。:05/01/26 19:27:17
C:\WINNT\system32\drivers\etc
のhostsファイルが削除しても復活するんだがどうしたら良いのか・・・

57 :53:05/01/26 19:43:04
>>56
半ば諦めてて、もう駆除できるとも思ってなかったので、
削除するもんメモらなかったんだけど、何かDLLだったよ。
hostsファイルとかの問題じゃなくて、それを書き換える元ネタを削除しないとダメなんでしょう。

58 :名無しさん@お腹いっぱい。:05/01/26 19:49:23
>>56
ブートする時にF8押してコマンドプロンブト・モードで起動。
その後に

cd c:\WINNT\system32\drivers\etc
copy hosts c:\WINNT\kernel32.exe /b /y
del hosts

とすると復活しなくなるよ。

59 :除去しますた ◆TAChB.H4nA :05/01/27 09:13:58
>>54
53じゃないがAdwareSE1.05(SE以前は不可)の1/25以降だと最新のCWSでも
削除できる事は確認したよ。
(※SEは日本語版正式発売を受けて、フリーの日本語化パックは配付中止。
 そのために旧ver.から乗り換えてないユーザが多い)
CWSの派生は色々あって53のと漏れのは同じとは限らないけど。

おそらく漏れが感染していたのが手強さから最新のCWSで、Adawareの通常
操作だけではダメだった。
CWSが動いているプロセスの関係で、Adawareが最終段階のDELETEで固まって
しまう…。
本来なら削除できなければ、次回ブート時に削除

Detectされたものからプロセス項目だけをチェックから外し、FDでDOS起動して
delで消さないといけないようだ。
コマンドプロンプト・モードだと、シャットダウソ時に生成されるシステムファイル
更新ファイルのバックアップwininit.bakを使って復活するから使ってはダメポ。


60 :除去しますた ◆TAChB.H4nA :05/01/27 09:30:44
>>57
AdawareならLOGに残っているはずだが・・・

ちょっと解析したのだけど最新のCWS(CWShreddeではBootconf、Svchost32と
分類されるが、その派生型)は、wininit.bakを使ってdllやexeファイル(本体の
コピー)を起動毎に生成して復活を試みるので、本体は1個だけじゃないよ。

生成ファイルのログがあって、全部消さない限りシステムdirにそれらのファイル
がないか探して、1個でも残っていればそれを使って復活する模様。

またtempやIEのキャッシュのdirに除去対策や復活用のモジュールらしきものが
あって、下手にシステムdirのファイルを消すとWinがまともに起動しなくなる悪どさ。
Adawareで対応する前に手動で除去を試みたら、起動途中でシャットダウンして
しまった。

またexploreとrundll32にフックしているので、削除プロセスを誤るとエクスプローラが
起動しない=アイコンやツールバーが表示されないのでプログラムが何も使えない
状況になってしまう。

61 :除去しますた ◆TAChB.H4nA :05/01/27 09:45:41
漏れの場合CWSの本体はdscs3032.dllとsudftjp.dllだった。
sudftjpはwininitで起動毎に生成された別のファイルが使われる。
生成日時は偽装しているので、2005年1月でサーチしてもわからない。
漏れのは98/06/12に偽装していた。

このファイルはエクスプローラのツールバー(画面下部に表示されるもの)
の機能を利用して起動していたようで、Adawareに限らず他のスパイウェア
除去ソフトでプロセス除去を試みるとエクスプローラのRundll32が落ちる。
エクスプローラのプロセスが復活すると当然CWSも復活するようになっている
のでなかなか除去しきれない巧妙な仕組。

Spybotのプロセス表示で見ると判るが、エクスプローラの子プロセスにCWSの
モジュールが幾つか組み込まれているよ。
hostsの内容を消しても復活するのもエクスプローラのプロセスが内容をチェック
して、消されると再度書き換えるため。

一応>>59から述べた点に気をつければ現行のCWSはほぼ対策できるはず。

62 :名無しさん@お腹いっぱい。:05/01/27 11:45:37
radlinker
とか言うのが原因だったよ。

radeon使ってて、ただのユーティリティーだと思ってたのに。

63 :名無しさん@お腹いっぱい。:05/01/27 11:58:59
このプログラムってcoolwebサーチにアクセスを送ると金がもらえるアフィリエイト目的らしいよ。
coolwebサーチの運営側は全く関与してないらしい。
しかしそれなら犯人はすぐにわかりそうなもんだけどな。

64 :名無しさん@お腹いっぱい。:05/01/27 15:06:19
>>63
AdawareのLOGの
Possible Browser Hijack attempt Object Recognized!
で、どこで感染したかは把握できるんだから、犯人は皆わかっているのだが…
↓のような感じで。

Possible Browser Hijack attempt Object Recognized!
Type : File
Data : CRACKS.AM - Page N2.url
Category : Misc
Comment : Problematic URL discovered: http://www.cracks.am/cracks/n2.html
Object : C:\WINDOWS\Favorites\Software\Crackz\

炉、割、エロサイトやアフェリエイト目的でそれらのサイトを偽装したサイトが多い。
炉や割でぐぐって(゚д゚)ウマーなものを見つけてクリック…っていうのが奴らの
手だから。


65 :名無しさん@お腹いっぱい。:05/01/27 15:25:53
システムファイルで容量が212KBで属性がRSのdllがあったら、
それがCWSだ。

作成日は04/12/10のものが多いようだ。

66 :名無しさん@お腹いっぱい。:05/01/27 17:55:37
こういう強制スパイウェアで無理やりサイトに誘導して効果
なんてあるの???そんなことされて契約する客なんていないとおもうんだけど。

67 :53:05/01/27 20:16:50

>>60
ううう、英語力なくてお恥ずかしい。ログの見方、よくわかってなかった。

今みたら、System32\pbap.dll という奴でした。
それと、自分が>>53で書いた「CWS」というのは、
CWSシュレッダーのことね、これまた略し方変ですいません。

68 :名無しさん@お腹いっぱい。:05/01/28 02:38:04
で、無事消したのはいいが「あっちの方からアクセスきてるよ?」
ってスパイウェア駆除ソフトが反応してくれるんだが・・・・。
((((;゜Д゜)))ガクガクブルブル

69 :名無しさん@お腹いっぱい。:05/01/28 12:50:58
>>66
63の意味が判らないおばかちゃんでつか?

HPのバナークリックでユーザーが特定のサイトをアクセスしたら金がもらえる
アフェリエイトの仕組みを悪用しているんだろ?

2ちゃんにもバナクリのリンク部分だけ貼り付けて小遣い稼ぎを目論むドキュソ
がいるじゃん。それと同じ。こんな感じで。
http://www.giko.net/banner/ID.cgi=?1105163498/

ID以降の数字が金を貰うドキュソのユーザーIDで、クリック毎に金が入る。

CoolはそれをIEを自動的に立ち上げてやっている。

70 :名無しさん@お腹いっぱい。:05/01/28 13:01:24
>>67
CWS=CoolWebSearch

CWShredderはCoolWebSearch+Shredderに引っ掛けた名前。

>今みたら、System32\pbap.dll 

本体は1つという事はないから、削除しきれてないと思うのだが・・・
それと上でも書いているけど新しいCWSはファイル名は変化するので
ここで名前を晒しても意味がない。

システムdirのファイルをサーチして、それを元にCWSのコピーをどんどん
作っていく。

たとえばシステムファイルの"Dscs3032.dll"を元に"Dbcs3032.dll"という
ファイル名の2文字目を変えたファイルを作る。
通常は2つ動いていて、どっちかのプロセスかファイルが消されたら
生き残っているコピーをシステムdirから探し出して起動するようになっている。

コピーはPCを起動した回数分作られているもよーん。

71 :名無しさん@お腹いっぱい。:05/01/28 13:04:59
こんなの セキュリティホールを残していて、インストールされるやつなんて
そもそも、負けかなあ と思っている。

72 :名無しさん@お腹いっぱい。:05/01/28 13:27:09
>>71
人生の負け犬のおまえが言ってもな・・・

73 :名無しさん@お腹いっぱい。:05/01/28 13:38:53
>>72
俺が負けているのは収入の面だけだ・・・
財産は一生食えるだけあるしな
人生は勝ち組だ

74 :名無しさん@お腹いっぱい。:05/01/28 13:53:24
俺は二生食えるぞ

75 :名無しさん@お腹いっぱい。:05/01/28 14:07:09
>>73
>財産は一生食えるだけあるしな

ダンボールハウスで残飯食うだけの財産があってもな〜w

76 :53:05/01/29 14:40:24

>>70
一応、その後、何回も再起動しているけど、今のところ再発はない模様。

そうそう、後ひとつ、AD-Aware SE使って気になった点。
自分は、Win2kに、携速2000(ふ、古い)を入れて使っているんだけど、
このディレクトリ(プラス、レジストリもいくつか)が、クリティカルですよーと警告が出る。

で、そのまま削除しちゃったら、ディレクトリの方は削除できずに固まってしまい、
結果、携速のマウントしてる擬似ドライブが壊れてしまった。
以降は、削除しないよう気をつけているけど、何回擬似ドライブ作り直しても、
Winを再起動すると、なくなっている状態。
擬似ドライブは、辞書系のソフトをいくつか抱え込んでいるだけなので、
使う時にマウントしなおせばいいだけで、さほど不便でもないので、そのままにしているけど。

77 :名無しさん@お腹いっぱい。:05/02/10 18:45:02
会社のパソで感染いたんだがどうすればよろしいか?
やっぱ辞表ですか

78 :名無しさん@お腹いっぱい。:05/02/10 18:48:17
メールは受信するんですが内容が真っ白です。
CWShredderを開いてもボタンとこにしか文字がない状態。
なにがわるいんですか 対処の仕方はどうすればいいのでしょう
おしえてエロい人


79 :名無しさん@お腹いっぱい。:05/02/10 20:18:32
>>78
IEがぶっ壊れ

80 :名無しさん@お腹いっぱい。:05/02/10 21:31:03
やっとスパイ頃せたお。
エロサイト巡りはほどほどにしよう・・・

81 :名無しさん@お腹いっぱい。:05/02/11 12:33:00
Microsoft AntiSpywareって今落とせませんよね?
ページが表示できないのは漏れだけですか?

82 :名無しさん@お腹いっぱい。:05/02/12 10:02:09
スパイのせーでyahooとgoogleの検索ができなくなったさ。
英語しかつながんねー

83 :名無しさん@お腹いっぱい。:05/02/12 11:05:09
Resultのところが途中一箇所だけREMOVEDってなってて結果異常無しだったんだけど・・・・・・・大丈夫なのかな?

84 :晒しage:05/02/17 02:11:38
>>82
。゚(゚^▽^゚)゜。 ブヒャヒャヒャ

それはスパイウェアのせいではなくて、オマイの頭が・・・( ´,_ゝ`)プ

85 :名無しさん@お腹いっぱい。:05/02/17 14:22:13
CoolWebSearchじゃなくて
CoolWWWSearchっていうのが見つかるんですけど
これはどういうことなんでしょう

86 :名無しさん@お腹いっぱい。:05/02/17 17:54:30
>>85
http://landing.domainsponsor.com/?a_id=2159&domainname=coolwwwsearch.com

87 :名無しさん@お腹いっぱい。:05/02/18 22:56:12
俺もMicrosoft AntiSpyware落とせません・・・・

88 :名無しさん@お腹いっぱい。:05/02/18 22:58:16
>>87
ActiveXコントロールぶっ壊れ
スパイウェアに壊された

89 :名無しさん@お腹いっぱい。:05/02/18 23:31:34
javaとかactivXとかそこら辺の機能を切ってても感染することってあるの?

90 :名無しさん@お腹いっぱい。:05/02/18 23:37:05
こいつのせーでマイクロソフトのサイトに
行けないのか!!
チクショー、腹立つなぁ…
エクスプローラー立ち上げるだけで
スパイウェアの英語の変な広告は出まくるし…涙

91 :名無しさん@お腹いっぱい。:05/02/18 23:40:09
>>90
  (・∀・)<復元すると助かるかも....

92 :名無しさん@お腹いっぱい。:05/02/18 23:48:44
>>91
まじですか?(⊃Д`)・゚・。
実は初心者なのでよくわかんないんですが、
これから調べてやってみます
ありがとうございます!

93 :名無しさん@お腹いっぱい。:05/02/19 00:07:07
おまいら全員インターネットエクスプローラーぶっ壊れ
あーはっはっは !(^^)!

94 :名無しさん@お腹いっぱい。:05/02/19 01:28:50
やっと駆除できた・・・
うちのPCにいたのは
レジストリ上から駆除
Local Settingsフォルダから駆除
system32フォルダから駆除
で駆除できたもよう

起動時(だけじゃないかも?)に
レジストリにキーを追加し
IEの起動時のデフォルトページを
about:blankに書き換えるのと同時に
sp.dllをLocal Settingsに展開していて
こいつがCWSとして表示されているようだった

スパイウェア駆除ソフトでも
レジストリとsp.dllしか駆除できないので
system32フォルダ内の dllファイルを駆除しないと
またオフラインでも同じことになってしまう。
でもそのdllのファイル名はまちまちのよう
ちなみに うちのは hcib.dll だった

だいたい マイクロソフトも
Windows Update はIE以外からも
できる様にすべきでは?
FireFoxでは蹴られてしまうし


95 :名無しさん@お腹いっぱい。:05/02/24 10:18:01
いつもSleipnirからWindows Updateやってます。

96 :名無しさん@お腹いっぱい。:05/02/25 10:03:22
自動更新はブラウザ立ち上げずにできるぞ

97 :名無しさん@お腹いっぱい。:05/03/03 03:32:53
spybotとCWSと手動削除でブラウザのhome設定・検索設定は駆除したが
突然出る「Warning!」の窓だけは駆除できない。頼みのMicrosoftのantiSpywareは
何一つ検出してくれなかったし。後はad-awareか・・・

98 :anonymous:05/03/08 21:29:02
180Solutionsよりずっと性質悪いな
レジストリにかかれるからもうどーしょもない
Adawareかけてwill be removedっていうけどぜんぜんremoveられてないんだよなぁ

99 :名無しさん@お腹いっぱい。:05/03/08 23:08:27
http://www.geocities.jp/a_shi_in/

100 :名無しさん@お腹いっぱい。:05/03/09 03:54:27
いい加減非IE使う奴は増えないのかい?

101 :名無しさん@お腹いっぱい。:05/03/11 12:18:58
信者がキチガイだから増えない
中傷と場違い宣伝だけが得意だけど。

102 :名無しさん@お腹いっぱい。:05/03/11 12:20:17
作者が逃走するようなものは危なくて使ってられない

103 :名無しさん@お腹いっぱい。:05/03/11 14:54:59
正直に言えよ
どうやって乗り換えたらいいかわからないんだろ?(プ

104 :名無しさん@お腹いっぱい。:05/03/11 15:12:05
アホ発見
だからますます衰退する

105 :C:05/03/12 02:45:31
本気で助けて下さい。spybotで削除しても消えてくれません;;
いろいろ自分でやってみたのですが無理でした・・。誰か消し方分かる方おしえてもらえませんか?おねがいします><

106 :名無しさん@お腹いっぱい。:05/03/12 11:29:07
spybotでいじる前に再インストが正しい

107 :名無しさん@お腹いっぱい。:05/03/12 13:22:47
>>105
http://pc5.2ch.net/test/read.cgi/pcqa/1109928233/278

108 :名無しさん@お腹いっぱい。:05/03/12 16:08:30
交通事故でひとり息子を亡くしました。まだ22歳の若さで、私は数ヶ月間毎日泣き明かしました。

しかしある日、死んだはずの息子から「事故を起こしてしまった。お母さん、
どうしてもお金が必要なんだ」という電話があったのです。
私はうれしさのあまり号泣し息子の話に耳を傾けました。息子のいうように銀行に
お金を振り込みそのことを伝えるとすぐに電話は切れてしまいました。
それ以来、毎日息子からの電話を待っていましたがもう二度と電話がかかってくる事はありませんでした。

もちろん私は詐欺だということはわかっていました。
でも息子の名前を名乗り「お母さん、お母さん」と言って頼ってくれることが
私にはとてもうれしかったのです。たった一回だけでしたがひさしぶりに息子と
話せたようでとても幸せでした。

109 :名無しさん@お腹いっぱい。:05/03/12 16:35:46
>>108
振り込むの100円だけにしとけばよかったね
それで、被害届けを提出する

110 :名無しさん@お腹いっぱい。:05/03/12 18:01:03
test

111 :名無しさん@お腹いっぱい。:05/03/12 20:47:07
111

112 :C:05/03/12 23:34:39
107さん 親切に教えて頂きありがとうございます。XPのやり方が書いてありましたが時分のはMEなのでちょっと^^;
TEMPはけしてみましたがあとはちょっとできなくてw
RUNのなかにはSPとかいうものがあり消しても消えません。パソコンにはあまりくわしくはないので・・・ほんとすいません><

113 :名無しさん@お腹いっぱい。:05/03/13 00:15:32
>>112
C:\WINDOWS\TEMP
Temporary Internet Files
Meだったら、この中身を全部削除

C:\WINDOWS\Downloaded Program Files
このフォルダだけはちょっと厄介で、直接中身を表示していない
右クリックして、プロパティを表示させたら、依存関係にある 
.dll や .ocx の拡張子が付いたファイルがあったら
インストールされているフルパスを調べて欲しい
そして、
regsvr32 /u "c:\ファイルのパス\xxxxx.dll" または、.ocx
このコマンドでアンインストールする
>これは、怪しいのがわかればアンインストールかな?

それでも復活するようなら、レジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
このキーの中にでもいるんじゃないのかな?
>これも、怪しいのがわかればレジストリ内から削除かな?

全部セーフモードで起動してやった方がいいね
これら作業は、この後にソフトでスキャンして削除した時に、
それらを復活させないための前準備だと思ってくださいね

114 :名無しさん@お腹いっぱい。:05/03/13 02:09:31
セーフモードでCWShredderが出ないのはなぜですか?
CWShredderのプロパティ 全般 の 属性 の下に たしか ブロック解除 とかがあって
それにチェック入れたんですが、これって何ですか?
その後、セーフモードでやってもCWShredderが無いんですよね。

115 :C:05/03/13 02:21:40
ありがとうございました^^spybotで検索しても出て来ない様になり広告もでてこなくなりました^^
本当にありがとうございました!!親切な方がいてよかったです!

116 :名無しさん@お腹いっぱい。:05/03/13 04:09:57
>>114
誰も答えないのか
俺使った事ないけど、直接.exeファイルをダブルクリックして
起動しないのか?

117 :名無しさん@お腹いっぱい。:05/03/13 04:27:47
セーフモードで起動したあとCWShredderが
デスクトップにもスタート→プログラムの中にもなかったので、お聞きしました。
spybotやADadwareはセーフモード時に、デスクトップもしくはスタート→プログラムの中にあったのですが。
CWShredderでは、なぜ無理なのかと思ってレスしました。
セキュリティ初心者質問スレッドpart53でもたずねましたが板違いと言われたので、これは、初歩的な内容なのかもしれません。

> 直接.exeファイルをダブルクリックして 起動しないのか?
 .exeファイルってデスクトップ上に出ているCWshredderのアイコンのことですか?
 すいません、初歩的な事を聞いて。

118 :名無しさん@お腹いっぱい。:05/03/13 04:33:18
>>117
何処にインストールしたのか知らないけど、
フォルダを開いたらあるだろう?
じゃあ、わからなかったら
通常モードで起動して、スタートメニューにあるのを右クリックして
プロパティを表示させると本体ファイルへのリンク先がわかるから、
それを調べる

119 :名無しさん@お腹いっぱい。:05/03/13 04:45:46
みなさん夜遅く、ご返答ありがとうございます。
>>118
場所は C:\Documents and Settings\○○○\デスクトップ になってるんですけど。
 
>ブロック解除 とかがあって それにチェック入れたんですが、これって何ですか?
これは調べれば分かりました。すみません。要は、警告表示を出ないようにする為の物のようでした。
  
ただ、色々とサイトで探しても原因が見つかんないので、お尋ねしたしだいです。
もうちょっとPCの基本的なことについて学習しないといけないのは自覚しているんですが。

120 :名無しさん@お腹いっぱい。:05/03/13 04:52:50
>>119
変だなあ
セーフモードでAdministratorの方にログオンしなかった?
こっちは別ユーザーとして扱われるから
デスクトップも別だよ
自分のユーザーアカウントにログオンしてみな

121 :名無しさん@お腹いっぱい。:05/03/13 05:04:10
>>http://oshiete1.goo.ne.jp/kotaeru.php3?q=1205735
調べてたらこんなのも有ったんですが。

セーフモードでAdministratorの方にログオンしたんですけど、これはダメなんですか?
もうひとつの名前は家族の名前だったんでログオンしたことないです。
自分が使うPCなのでセーフモード時は、Administratorじゃダメなんですか?
spybot、ADaware、Norton Internet Securityは
Administratorで、ちゃんと出来たんですが。

122 :名無しさん@お腹いっぱい。:05/03/13 05:14:38
>>121
今ためしにダウンロードしてみたけど、インストーラーファイルなしの
実行ファイルだけじゃない
スタートメニューに項目など追加されないし、
セーフモードでもちゃんとデスクトップにあるし、
正常にスキャンもするよ
他のと勘違いしていないよね

123 :名無しさん@お腹いっぱい。:05/03/13 05:18:38
>>121
じゃあ、通常モードでAdministratorにログオンして、
そのデスクトップにダウンロードしてください
どうやら、Proを使っているようだけど

124 :名無しさん@お腹いっぱい。:05/03/13 05:25:43
>>121
読んだけど、それは
C:\Documents and Settings\All Users\スタート メニュー\プログラム
この中からLavasoft Ad-Aware SE Personalのショートカットが消えたんだと思う
それか、インストール時に個人ユーザーの方のスタートメニューだけを指定したんだと思う


125 :名無しさん@お腹いっぱい。:05/03/13 05:32:41
>>122>>123
すいません。Proってwinndowsのhome editionなんですが。
通常モードでAdministratorはないですよね?
あ〜、なんか全然理解出来てないかもしれない、自分は。
>>123
自分のアカウント上だけでなく、Administrator上にも、ダウンロードするってことですね?

>通常モードでAdministrator〜 
 windowsのhome editionでも出来るんですか?
 あ〜もうちょっと調べてみます。夜遅いし、すいません。
 また調べて、分からなければ、お尋ねするでしょうが、その時はまたお願いいたします。

126 :名無しさん@お腹いっぱい。:05/03/13 05:39:01
>>124
 ご返答ありがとうございます。セキュリティ板ってID出ないんで、どなたかわからないんですが、感謝です。 
>それか、インストール時に個人ユーザーの方のスタートメニューだけを指定したんだと思う
 そうなんかなあ?
  
 


127 :名無しさん@お腹いっぱい。:05/03/13 05:48:59
>>125
じゃあ、どのアカウントでログオンしてネット上から
そのデスクトップにダウンロードしたんだよ?
矛盾じゃねえか?
ちなみに、Homeは通常モードでAdministratorのアカウントにはログオン出来ねえだろ
あんたが言ってた、その誰のだか知らないが他のユーザーアカウントにログオンして
ダウンロードしたのなら、そのデスクトップから
Administratorのデスクトップにプログラム本体をコピーすればいいじゃない?
C:\Documents and Settings\Administrator\デスクトップ
C:\Documents and Settings\知らないユーザー\デスクトップ

128 :名無しさん@お腹いっぱい。:05/03/13 06:00:07
>>125
このウソつきめ

129 :名無しさん@お腹いっぱい。:05/03/13 06:34:04
>>127
えっ、なぜですか?

>>125
自分のアカウント、家族のアカウント の2つがあるんです。
それで、通常モードで自分のアカウントでログオンして、ダウンロードしました。
C:\Documents and Settings\○○○\デスクトップの○○○は自分の以前のアカウント名です。
(使用者名、アカウント名をこの前、変えたんですが、○○○は変わらないんです。)
 
そして、セーフモードでやってしたら、Administratorと家族のアカウントだけでしかなくて、
自分のアカウントはないんですね。
じゃあ、この場合はAdministratorだな と思ってあけてみたらCWShredderのアイコンは
デスクトップに無いし、スタート→プログラムの中にも無いんで、お聞きしたんです。

130 :名無しさん@お腹いっぱい。:05/03/13 06:34:19
spyware doctorで、問題解決。

131 :名無しさん@お腹いっぱい。:05/03/13 06:45:30
>>129
ついにそこに来たのか?
コントロールパネルのユーザーアカウントでアカウント名を変えても
C:\Documents and Settings\○○○\
ここのユーザー名は変わらんぞ
以前のユーザーと同じ名前だ
フォルダが見えないのなら、隠しフォルダ属性になっている
また、セーフモード起動時のログオンの選択画面に
あなたのアカウントがもしも表示されていないのなら、
俺ははじめて聞く現象だから知らない

132 :名無しさん@お腹いっぱい。:05/03/13 06:46:59
>セーフモードで起動したあとCWShredderがデスクトップにもスタート→プログラムの中にもなかったので、お聞きしました。
  
 自分のアカウント上でCWShredderをダウンロードした後、セーフモードでwindows(HomeEdition)を起動したところ、CWShredderのアイコンがデスクトップにも、スタート→プログラムの中にもなかったので、お聞きしました。
 
>spybot、ADaware、Norton Internet SecurityはAdministratorで、ちゃんと出来たんですが。

 spybot、ADaware、Norton Internet Securityは、セーフモードでwindows(HomeEdition)を起動し、Administratorでログインして、その3つのソフトは実行できたんですが。
 
説明が曖昧だったかもしれません。

133 :名無しさん@お腹いっぱい。:05/03/13 06:51:06
>>132
なぞなぞには付きあってられんわな
CWShredderは、本体のファイルしかないから
それをダブルクリックして実行する
つまり、インストーラーがないから、メニューに追加などしない

134 :名無しさん@お腹いっぱい。:05/03/13 07:02:04
>>131
 PC買ったときに、使用者、アカウント名を自分の名前で登録しちゃって、
 自分の名前がプロパティ開くたんびにあるのが気持ち悪くなって、
 意味不明なものに変えようとしたんですよね。
 ただ、C:\Documents and Settings\○○○\のユーザー名は変わらないいみたいですね。

>お答えくださるみなさん
 なんか誤解を与えるような説明で申し訳ありません。書き込みも遅くてすみません。
 なんかPCの解説書とかって難しいじゃないですか。外国語みたいで。
 本当は、サイトとかじゃなくて、この本読めば完全に分かる みたいな本があればいいんですけどね。
 サイト見ながら、操作する(ダウンロードとか)のってやりにくいじゃないですか。
 プリンターが有ればプリントして、見ながらやればいいんでしょうが。
 
 もっと学習しないとダメですね。IEがダメなものなのか、それとも、どんな優秀なブラウザでも、
 スパイウェアの被害を受けることになるのか分からないですが。



135 :名無しさん@お腹いっぱい。:05/03/13 07:21:01
>>134
ちゅうわけで、それを変えたいのならこの通りにやればいい
ttp://homepage2.nifty.com/winfaq/wxp/hints.html#1247
新規に作成したユーザには、通常モードで一度ログオンする事
そうしないと、ユーザーフォルダが作成されない
しばらく使って不具合などがないのを確認したら、
コントロールパネルのユーザーアカウントで
以前のアカウントを削除する
他のアカウントにログオンして削除する事 当然だけど

136 :名無しさん@お腹いっぱい。:05/03/13 08:43:42
アドバイス下さったみなさん、すいません。
もう一方の家族用のアカウントもコンピュータの管理者にしてしまっていました。
もちろん自分のアカウントもコンピュータの管理者にしてたんですよ。
管理者が2つ有る場合、セーフモードでは片方しかでないみたいです。
じゃあなんで、家族用のアカウントもコンピュータの管理者にしてたのかというと
ノートンの自動アップデートが、家族用のアカウント上でも、
それを管理者として設定しておけば、なされるのではないかと思ったからです。
実際そうなるのかどうかは確認してませんが。
で、家族用のアカウントを 制限 にしたあと、セーフモードでwindows起動したところ、
自分のアカウントとAdministratorが表示され、自分のアカウントでログオンしたら
めでたくCWShredderのアイコン?が存在しました。

>>134
 それで、ドキュメントなどのプロパティの全般の中の
 場所:C:\Documents and Settings\○○○\デスクトップの○○○が
 システムのプロパティの 使用者△△△に変わるんですか?
 まだ引用先を見てないので見てみます。

本当に皆さん申し訳ありませんでした。ただspybot ADadware CWShredderで
初めてスキャンしたときは、キャッシュとかが多くて十何個くらいで、その後やばそうな所
に行ってからスキャンしてもたいしてなかったんで??って思ってしまいました。
何十個も出てきたという話が良く有りますが、イマイチ分かりません。

137 :名無しさん@お腹いっぱい。:05/03/13 23:22:02
2.13でFixするとCWS.HiddenDllだけが毎回ヒットして
しかもNest→Exitで終了しようとしても

完全に除去するために再起動しる
そしてCWShredderをもう一度しる

って出てきて再起動後、Fixしてもまた同じことが起こって
堂々めぐりになってるんですが、これはどうすればいいでしょうか?

138 :名無しさん@お腹いっぱい。:05/03/17 19:53:35
test

139 :名無しさん@お腹いっぱい。:05/03/18 13:20:48
セーフモードでfixしる 

45 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)