« キーボード入力が変です。 | トップページ | 起動が遅くてインターネットに時々接続出来ない。 »

2007年7月 5日 (木)

中国語のサイトが勝手に繋がります。

本日のトラブルはウィルス、アドウェアの駆除です。

一ヶ月ほど前から勝手に中国語のサイトが起動してくるとの事です。

後で調べたのですが中国語のサイトに接続するアドウェアはなかなか厄介だそうです。

早速、お伺いして現象確認です。

問題のPCは富士通の省スペースPC WinXPです。

XPのバージョンも初期のものでSP2が適応されていません。

アンチウィルスソフトもインストールされていないようです。

IEを起動すると、ホームページのyahooが表示されました。

しかし、しばらくすると中国語のサイトがピョコピョコ起動しだします。

よく見ると、どこかの病院のホームページのようです。

IEのツールバーを見ると「中」と書かれた青いボタンがありました。

[ツール]をクリックして確認すると「chinese Navigation」というアドオンがインストールされています。

怪しいので[コントロールパネル]からアンインストールしてみました。

すると中国語のサイトも表示されなくなりました。

しかし、何度か再起動していると、またしても「chinese Navigation」がインストールされて中国語のサイトが起動します。

現地での復旧は諦めて引き上げ修理になりました。

-----------------------------------------------

持ち帰りHijackThisでログを確認すると怪しい項目が多数ありました。

R3 - URLSearchHook: SrchspHook Class - {22F86F33-9CBB-49a8-BB12-CDBE51B4C294} - C:\PROGRA~1\OCINS\srchsp.dll

F2 - REG:system.ini: UserInit=userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\PG6dh6VLCa.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\PG6dh6VLCa.exe

O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush1.dll

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: IEAux Class - {7605CC7C-00FD-4A5F-BAFD-828342DE6279} - C:\PROGRA~1\OCINS\ieaux.dll

O2 - BHO: ff Class - {FAAAC0F6-94BE-4466-934B-7C53666A2F41} - C:\WINDOWS\System32\12a1.dll

O4 - HKLM\..\Run: [wdfmgr32] C:\WINDOWS\System32\wdfmgr32.exe
O4 - HKLM\..\Run: [SVCH0ST] C:\WINDOWS\System32\moviemk.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll
O4 - HKLM\..\Run: [nwizwows] C:\WINDOWS\System32\nwizwows.exe
O4 - HKLM\..\Run: [cmdbs] C:\WINDOWS\cmdbs.exe
O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exe
O4 - HKLM\..\Run: [IdnSvr] C:\Program Files\OCINS\idnsvr.exe
O4 - HKLM\..\Run: [Kvsc3] C:\WINDOWS\Kvsc3.exe

O9 - Extra button: Chinese Navigation - {B012491E-8FA4-4851-AA9B-22E33784FBAD} - C:\Program Files\OCINS\config.exe
O9 - Extra 'Tools' menuitem: Chinese Navigation - {B012491E-8FA4-4851-AA9B-22E33784FBAD} - C:\Program Files\OCINS\config.exe

O20 - Winlogon Notify: mswmdm - C:\WINDOWS\SYSTEM32\rnspmsp.dll

O23 - Service: IEAgent service (IEAgent) - Unknown owner - C:\WINDOWS\system32\ieagent.exe

以上の項目を全てFIXしました。

しかし、

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll

O20 - Winlogon Notify: mswmdm - C:\WINDOWS\SYSTEM32\rnspmsp.dll

だけが消えてくれません。

O20 - Winlogon Notify: mswmdm - C:\WINDOWS\SYSTEM32\rnspmsp.dllは再起動するたびに名前を変えて復活して来ます。

そこで一旦ハードディスクを取り出してメンテ用のPCに接続。

メンテPCのノートン アンチウィルスでスキャンしてみました。

すると100個近いウィルスが検出されました。

Trojan Horse

Trojan Packed.18

W32.Hitapop

などなど・・・。

全て修復、削除してもう一度ハードディスクを戻してHijackThisで調べてみました。

すると

O20 - Winlogon Notify: mswmdm - C:\WINDOWS\SYSTEM32\rnspmsp.dll

はファイルも消えたのでFixして消えてくれました。

しかし、O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
は相変わらずです。

そこでC:\Documents and Settings\All Users\Application Data\Microsoft\PCToolsフォルダを開いて直接pctools.dllを削除しようとしましたが削除出来ません。

セーフモードでも同じです。

次にフリーのファイル強制削除ソフトを使って削除してみると、今度は以外にも削除出来ました。

しかしHijackThisでFixしてもログだけは消えてくれません。レジストリを直接削除しようとしても出来ませんでした。

でもファイル自体は消えてくれましたので問題ないと思います。

次にしっかりSP2を適用させて最後にトレンドマイクロのオンラインスキャンや各種メーカーのアンチウィルスソフトでウィルスやスパイウェアが検出されなくなるまでスキャンをしてやりました。

しばらくネットに繋いで様子を見ましたが問題無さそうなので終了です。

本当はリカバリすれば早かったのかもしれませんが今回のお客さんはリカバリディスクを紛失されておりました。

リカバリディスクは大切なので、くれぐれも無くさないようにしてください(^^;

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

|

« キーボード入力が変です。 | トップページ | 起動が遅くてインターネットに時々接続出来ない。 »

コメント

Good design!
http://umzkznli.com/osml/avhh.html | http://sxaxnjrz.com/ufdd/lgwl.html

投稿: Karl | 2007年7月18日 (水) 02時40分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: 中国語のサイトが勝手に繋がります。:

« キーボード入力が変です。 | トップページ | 起動が遅くてインターネットに時々接続出来ない。 »