« 起動時に立ち上がる偽セキュリティーソフト。 | トップページ | 強制終了後起動しない。 »

2008年3月26日 (水)

PC-Cleanerが勝手に起動。

電源を入れるとPC-Cleanerというプログラムが起動する。

アドウェアの類。

電源を入れると以下の画面。

Pccleaner

しばらくすると様々なメッセージやポップアップが表示されます。

W

We

Hu

ネットからは外していますが頻繁に接続しようとする。

O_2

そしてデスクトップには不審なアイコンが・・・。

Icon_3

しかしこれらはインストールされたプログラムのショートカットではなくてIEのショートカットでクリックするとアイコンのサイトに接続されてしまいます。

削除しても再起動するとまた現れる。

動きが遅いのでタスクマネージャを起動しようとすると以下のエラー。

Photo

レジストリで制限されてしまっているようです。おそらくアドウェアの影響でしょう。

HijackThisを起動。以下のログ。

R3 - URLSearchHook: MyUrlSrcHook Class - {D2A5245A-B682-4C26-A507-173A774B2E70} - C:\WINDOWS\DOWNLO~1\CnsMinIdn.dll
O1 - Hosts: 2001:d70:100::80 nc27web00.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0002::80 nc27web20.w2.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0003::80 nc27web40.w3.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0004::80 nc27web50.w4.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0005::80 nc27web60.w5.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0006::80 nc27web70.w6.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0007::80 nc27web80.w7.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0008::80 nc27web90.w8.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0009::80 nc27weba0.w9.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000a::80 nc27webb0.w10.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000b::80 nc27webc0.w11.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000c::80 nc27webd0.w12.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000d::80 nc27webe0.w13.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000e::80 nc27webf0.w14.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000f::80 nc27webg0.w15.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0010::80 nc27webh0.w16.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0011::80 nc27webi0.w17.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0012::80 nc27webj0.w18.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100::5060 nc27scc00.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0002::5060 nc27scc20.w2.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0003::5060 nc27scc40.w3.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0004::5060 nc27scc50.w4.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0005::5060 nc27scc60.w5.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0006::5060 nc27scc70.w6.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0007::5060 nc27scc80.w7.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0008::5060 nc27scc90.w8.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0009::5060 nc27scca0.w9.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000a::5060 nc27sccb0.w10.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000b::5060 nc27sccc0.w11.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000c::5060 nc27sccd0.w12.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000d::5060 nc27scce0.w13.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000e::5060 nc27sccf0.w14.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000f::5060 nc27sccg0.w15.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0010::5060 nc27scch0.w16.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0011::5060 nc27scci0.w17.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0012::5060 nc27sccj0.w18.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100::5061 nc27imc00.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100::1:5061 nc27imc01.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0002::5061 nc27imc20.w2.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0002::1:5061 nc27imc21.w2.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0003::5061 nc27imc40.w3.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0003::1:5061 nc27imc41.w3.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0004::5061 nc27imc50.w4.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0004::1:5061 nc27imc51.w4.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0005::5061 nc27imc60.w5.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0005::1:5061 nc27imc61.w5.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0006::5061 nc27imc70.w6.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0006::1:5061 nc27imc71.w6.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0007::5061 nc27imc80.w7.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0007::1:5061 nc27imc81.w7.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0008::5061 nc27imc90.w8.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0008::1:5061 nc27imc91.w8.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0009::5061 nc27imca0.w9.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0009::1:5061 nc27imca1.w9.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000a::5061 nc27imcb0.w10.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000a::1:5061 nc27imcb1.w10.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000b::5061 nc27imcc0.w11.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000b::1:5061 nc27imcc1.w11.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000c::5061 nc27imcd0.w12.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000c::1:5061 nc27imcd1.w12.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000d::5061 nc27imce0.w13.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000d::1:5061 nc27imce1.w13.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000e::5061 nc27imcf0.w14.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000e::1:5061 nc27imcf1.w14.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000f::5061 nc27imcg0.w15.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000f::1:5061 nc27imcg1.w15.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0010::5061 nc27imch0.w16.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0010::1:5061 nc27imch1.w16.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0011::5061 nc27imci0.w17.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0011::1:5061 nc27imci1.w17.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0012::5061 nc27imcj0.w18.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0012::1:5061 nc27imcj1.w18.v2.fletsnet.com # CommunicationTool
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CnsMinIdn.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: GNX Bingo - {A0C423F4-95C3-4C6A-A5C7-1E60F6E6BEA8} - C:\WINDOWS\kdftlboedox.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: qvdntlmw - {3D5F91CB-4CEC-4AA8-BF5D-D7797DE45A4B} - C:\WINDOWS\qvdntlmw.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [PUSCKAPLEXE] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCKAPLEXE.exe
O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\updatenv.exe
O4 - HKLM\..\Run: [WLANNER] C:\Program Files\FUJITSU\Mr.WLANner\mwlanrun.exe
O4 - HKLM\..\Run: [InfoMyCa.exe] C:\Program Files\WBC FT-STC-Vag\InfoMyCa.exe
O4 - HKLM\..\Run: [MyMedia Server Helper] "C:\Program Files\Fujitsu\MyMedia\MyMedia Server Tool\MyMediaServerHelper.exe"
O4 - HKLM\..\Run: [pccguide.exe] C:\PROGRA~1\NTTW\SECURI~1\pccguide.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Mini\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [antiviirus] C:\Program Files\antiviirus.exe
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rcmwltwz] C:\WINDOWS\system32\fuxuxsju.exe
O4 - HKCU\..\Run: [PC-Cleaner] "C:\Program Files\PC-Cleaner\PC-Cleaner.exe" hide
O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: JWord (日本語キーワード) - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton (file missing)
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [!CNS]  JWord (日本語キーワード)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2953B1BD-374C-431E-8F39-42845F506A3B} (EditDoc Class) - https://file1.mydisk.fletsnet.com/ActiveX/NWDnDBox.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189913377046
O16 - DPF: {9FD910D4-F61F-422C-82A0-3680B16154F3} (fcctrl Class) - http://insite.search.goo.ne.jp/wfsq/cj_common/axfcctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
O20 - Winlogon Notify: PUSCSRVC - C:\WINDOWS\SYSTEM32\PUSCSRVC.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: SrvDrive - {de1ec4ab-873f-4f35-b810-47915a7f53f7} - C:\WINDOWS\Installer\{de1ec4ab-873f-4f35-b810-47915a7f53f7}\SrvDrive.dll
O21 - SSODL: zip - {5e5104c5-82dc-4f06-8e79-dde65d2dabbb} - C:\WINDOWS\Installer\{5e5104c5-82dc-4f06-8e79-dde65d2dabbb}\zip.dll
O21 - SSODL: vbgtorfd - {46C446C1-BABF-4BE7-9C2B-3F8457187DE9} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {6913657D-9324-4020-B21E-1F7088CA79E0} - C:\WINDOWS\dwnrpofk.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BeatJam Music Server - HTTP (BeatJamMusicStreamingServer) - Justsystem Corporation - C:\Program Files\Justsystem\BeatJam Music Server\BeatJamHttpService.exe
O23 - Service: BeatJam Music Server - UPnP (BeatJamUPnPMusicServer) - Justsystem Corporation - C:\Program Files\Justsystem\BeatJam Music Server\BeatJamUPnPService.exe
O23 - Service: B's Recorder GOLD Library Service (bgsvclib) - B.H.A Corporation - C:\Program Files\Justsystem\OpenMG BeatJam\Plugin\bgsvclib.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Morrin Thumbnail Synchronized Service 5 (MrnTS_Sync5) - 株式会社モーリン - C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MyMedia Server - DigiOn - C:\Program Files\Fujitsu\MyMedia\MyMedia Server Tool\MyMediaServer.exe
O23 - Service: OKI Wireless A54 Wireless Service (OKI WirelessA54A11) - Unknown owner - C:\Program Files\WBC FT-STC-Vag\WLService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\NTTW\SECURI~1\PcCtlCom.exe
O23 - Service: Trend Micro Protection Against Spyware  (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\NTTW\SECURI~1\PcScnSrv.exe
O23 - Service: PSS Core - Matsushita Electric Industry Co., LTD. - C:\Program Files\Common Files\Panasonic\PSSCore.exe
O23 - Service: PowerUtility Remote Power Management Service (putlrsrv) - FUJITSU LIMITED - C:\PROGRA~1\Fujitsu\POWERU~1\remote\PUTLRSRV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\NTTW\SECURI~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\NTTW\SECURI~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\NTTW\SECURI~1\tmproxy.exe

JWordや光プレミアムのhostsファイル書き換えを除けば不正なログは以下のログ。

O2 - BHO: GNX Bingo - {A0C423F4-95C3-4C6A-A5C7-1E60F6E6BEA8} - C:\WINDOWS\kdftlboedox.dll
O3 - Toolbar: qvdntlmw - {3D5F91CB-4CEC-4AA8-BF5D-D7797DE45A4B} - C:\WINDOWS\qvdntlmw.dll
O4 - HKLM\..\Run: [antiviirus] C:\Program Files\antiviirus.exe
O4 - HKCU\..\Run: [rcmwltwz] C:\WINDOWS\system32\fuxuxsju.exe
O4 - HKCU\..\Run: [PC-Cleaner] "C:\Program Files\PC-Cleaner\PC-Cleaner.exe" hide
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O21 - SSODL: SrvDrive - {de1ec4ab-873f-4f35-b810-47915a7f53f7} - C:\WINDOWS\Installer\{de1ec4ab-873f-4f35-b810-47915a7f53f7}\SrvDrive.dll
O21 - SSODL: zip - {5e5104c5-82dc-4f06-8e79-dde65d2dabbb} - C:\WINDOWS\Installer\{5e5104c5-82dc-4f06-8e79-dde65d2dabbb}\zip.dll
O21 - SSODL: vbgtorfd - {46C446C1-BABF-4BE7-9C2B-3F8457187DE9} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {6913657D-9324-4020-B21E-1F7088CA79E0} - C:\WINDOWS\dwnrpofk.dll

PC-Cleanerはアンインストーラーでアンインストール。

残りのログをFIX。

しかし

O2 - BHO: GNX Bingo - {A0C423F4-95C3-4C6A-A5C7-1E60F6E6BEA8} - C:\WINDOWS\kdftlboedox.dll

O21 - SSODL: SrvDrive - {de1ec4ab-873f-4f35-b810-47915a7f53f7} - C:\WINDOWS\Installer\{de1ec4ab-873f-4f35-b810-47915a7f53f7}\SrvDrive.dll
O21 - SSODL: zip - {5e5104c5-82dc-4f06-8e79-dde65d2dabbb} - C:\WINDOWS\Installer\{5e5104c5-82dc-4f06-8e79-dde65d2dabbb}\zip.dll
O21 - SSODL: vbgtorfd - {46C446C1-BABF-4BE7-9C2B-3F8457187DE9} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {6913657D-9324-4020-B21E-1F7088CA79E0} - C:\WINDOWS\dwnrpofk.dll

が消えてくれません。

次にセーフモードで起動。

もう一度FIX。

今度は消えた。

そのまま該当ファイルを削除。

そのままインターネット一時ファイルやTempファイルも削除。

その後再起動。

症状は消えました。

他にも残っているかもしれません。

SPYBOTをインストール。そしてスキャン。

いくつかのスパイウェアを検出削除。

光プレミアムのセキュリティーツールでスキャン。

しかしいつまで経っても0%から進まない。おかしくなっている。

しかも再起動すると起動がすごく遅い。

制限されているタスクマネージャをレジストリで修復。

HKEY_Current_User \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ SystemのDisableTaskMgrをクリック。[値のデータ] を「0」にしてタスクマネージャが復活。

タスクマネージャでCPUプロセスを確認するとPcScnSrv.exeの使用率が異状に高い。

光プレミアム版ウィルスバスターのプロセス。

調べてみるとSPYBOTとの併用がまずかったようだ。

http://oshiete1.goo.ne.jp/qa2778175.html

http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060520&id=JP-2060520

http://d.hatena.ne.jp/palm84/20061008

SPYBOTの免疫を解除してからアンインストール。

しかし変わらず。

光プレミアムセキュリーティーツールをプログラムファイル内のPCCToolから完全にアンインストール。

アンインストール中に再びPC-Cleanerのインストール画面が表示。まだ何か残っている様子。タスクマネージャでPC-Cleanerのインストール画面を終了。

完全に光プレミアムセキュリーティーツールをアンインストール。

再インストールは置いておいて残っている不正プログラム探し。

再びHijackThisを起動すると新しいログが追加。

O4 - HKCU\..\Run: [wmtlrjzm] C:\WINDOWS\system32\nilovopa.exe

FIX後nilovopa.exeを削除。

次に最初にFIXした不正プログラムSrvDrive.dllなどの作成日を調べて感染したであろう日時を特定。

同じ日に作成されたファイルを検索。

Windowsフォルダやsystem32フォルダなどのファイルの中から不正プログラムの作成時刻と同じものがいくつも残っています。

a.bat

base64.tmp

bdn.com

FVProtect.exe

mssecu.exe

system32akttzn.exe

system32anticipator.dll

system32awtoolb.dll

system32bdn.com

system32bsva-egihsg52.exe

system32dpcproxy.exe

system32emesx.dll

system32hoproxy.dll

system32hxiwlgpm.dat

system32hxiwlgpm.exe

system32medup012.dll

system32medup020.dll

system32msgp.exe

system32msnbho.dll

system32mssecu.exe

system32msvchost.exe

system32mtr2.exe

system32mwin32.exe

system32netode.exe

system32newsd32.exe

system32ps1.exe

system32psof1.exe

system32psoft1.exe

system32regc64.dll

system32regm64.dll

system32Rundl1.exe

system32sncntr.exe

system32ssurf022.dll

system32ssvchost.com

system32ssvchost.exe

system32sysreq.exe

system32taack.dat

system32taack.exe

system32temp#01.exe

system32thun32.dll

system32thun.dll

system32VBIEWER.OCX

system32vbsys2.dll

system32vcatchpi.dll

system32winlogonpc.exe

system32winsystem.exe

system32WINWGPX.EXE

iTunesMusic.exe

userconfig9x.dll

winsystem.exe

ネットで調べた結果日本語やメーカーサイトの情報は無いが数少ないサイトの更新日からすると最近のウィルスのようです。

以上のファイルを削除。

光プレミアムセキュリティーツールを再インストール。

今度はPcScnSrv.exeも落ち着いて問題なし。

光プレミアムセキュリティーツールでウィルススキャン。

いくつかのウィルスファイルを検出して削除。

そのいくつかのなソフトで検出されなくなるまでスキャンして終了。

|

« 起動時に立ち上がる偽セキュリティーソフト。 | トップページ | 強制終了後起動しない。 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: PC-Cleanerが勝手に起動。:

« 起動時に立ち上がる偽セキュリティーソフト。 | トップページ | 強制終了後起動しない。 »