ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« Generic Host Process for WIN32 Servicesのエラー いろいろ。 | トップページ | 持っててよかったシリアルマウス。 »

2005年8月28日 (日)

スパイウェアはいましたが…。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

今回のお客さんは、NEC製デスクトップのWindows98のユーザーさんです。

「インターネットにつながらなくて困っているんです。3ヶ月ほどほったらかしだったんですが、そろそろ夏休みも終わりで、子供が調べものに使いたいらしくて…」

なるほど、わかります(^-^)
とにかく「機械ものはよくわからないので…」とのことで、とりあえずお伺いすることに。

現地で待ち受けていた事態は、確かにスパイウェアもいたのですが…根本的な原因は別にあったのです。

お伺いして、いつもどおり電源を入れての状況確認。
コンセントごとにスイッチのついているタイプのOAタップがあって、全ての電源を切ってありましたので、ぱちぱちぱちとスイッチをオンしていきました。
モデムを見たら…なんとなく点いてるランプが少ないような気が…まぁあとで見よう。

パソコンの電源を入れたら、確かに起動が遅い。
デスクトップが現れてから、マウスカーソルの砂時計がなかなか消えないし、消えてもどうも動きが重い。
典型的なスパイウェア・アドウェアの症状と言えますね。
ためしにインターネットエクスプローラーを開いてみると…
toolbar1
↑クリックすると拡大されます

赤く囲まれた部分が、勝手にインストールされたツールバーです。
アドレス欄には、勝手に書き換えられたトップページがありました。
お気に入り欄には、消しても消しても復活する怪しげなブックマークがありました。
これらは典型的なアドウェアの症状です。
アド(広告)ウェアというだけあって、自分のサイトに強制的に誘い込むような手口をとるソフトウェアです。

とにかく、いつもどおりHijackThisにて怪しい起動項目をチェック。

R3 - URLSearchHook: (no name) - _{263FE487-9500-1C94-F60B-97C5F8873A79} - (no file)

この項目(URLSearchHook)でまともなものはありませんので、迷わず削除。

O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~3.DLL
O2 - BHO: ActiveX Control - {637540C0-BF5E-11D9-ACAE-000740C824B0} - C:\WINDOWS\SYSTEM\MSGBR.DLL
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\MPBPT.DLL
O2 - BHO: IE SP2 AddOn - {682C3920-BF5E-11D9-ACAE-000740C824B0} - C:\WINDOWS\SYSTEM\SPJNM.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\MPBPT.DLL

このへんは、ほぼ一通り怪しいもののようなので削除です。

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\SYSTEM\IEHELPER.DLL

これもあったのですが、後で調べると、どうもNEC製のパソコンにプリインストールの翻訳ソフト「CROSSROAD Ver3.0」というソフトの一部らしいのです。
まぁいずれにしても使っておられないので削除でも充分でしたが。

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [Mixerbar] c:\windows\mixerbar.exe
O4 - HKLM\..\Run: [Reboot_check] Q:\setup.exe 0
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O4 - HKLM\..\Run: [dePloy] SYSTRAV.exe
O4 - HKLM\..\Run: [panel_its] xwiz.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [lgtodcn] C:\WINDOWS\lgtodcn.exe
O4 - HKLM\..\Run: [2qqddhb1] C:\WINDOWS\SYSTEM\2qqddhb1.exe
O4 - HKLM\..\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE
O4 - HKLM\..\Run: [csctw.exe] csctw.exe
O4 - HKLM\..\Run: [HCLEAN32.EXE] C:\WINDOWS\SYSTEM\HCLEAN32.EXE
O4 - HKLM\..\Run: [dmzzx.exe] C:\WINDOWS\SYSTEM\dmzzx.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [systemdll] br0ken.exe
O4 - HKCU\..\Run: [jopplerg] SysEntry.exe
O4 - HKCU\..\Run: [sound64] dePloy.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: JWord(日本語キーワード) - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton (file missing)
O11 - Options group: [!CNS] JWord(日本語キーワード)
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://www.hot-eroticspics.com/free/loud.chm::/bridge-c46.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.110

まーしかし、実にたくさん潜んでいたものです。
こりゃおかしくなっても当然ですね。
HijackThisでFIXして再起動。

…んんん?

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

なんどやっても、この2つは必ず復活してくる。
怪しい。怪し過ぎる。
仕方がない、パワーアップしたSpybotの1.4にご登場願うか。

CD-ROMからSpybot1.4をインストールしてみたが、どうもこのソフトは、最初にオンラインアップデートをかけないとチェックをさせてくれないらしい。
おいおいマジかよ。
んじゃー、インターネットにつないでみるか。
…とADSLモデムを見てみる。
このモデムは、アッカまたはイーアクセスの、プロバイダ料金とセットのプランに使われる、ルーター機能内蔵タイプのモデムです。
ランプを見ると…POWERとLANは点いていたけれど、PPPとADSLが点いていない。
こりゃ回線がつながっていないってことじゃないの???

まずは配線ミスの可能性を外すべく、壁からのラインをスプリッタを通さずに直接つないでみたが、症状変わらず。
電話は使えるので、おそらくプロバイダ側の問題だろう。
とりあえずプロバイダに電話してみた。
あれこれ聞いてくるので、やったことを伝えて、指示された操作の結果を伝えた。
その電話口の人の判断は「モデムの故障」でした。
で、モデムの送り先の確認をしていて、契約書の住所と現住所が違うことに気がついた。
お客さんに聞いてみたら、「1ヶ月半ほど前にこの家に引っ越してきた」と言う。
…?????
えっと、確か、インターネットが使えなくなったのは…。

電話口の人は、「住所変更の手続きは担当が別なので、そちらにまわしますのでまず手続きを」と言う。
で、住所変更担当にまわされて、旧住所と新住所を伝えたら、「住所変更をすると場所によってはつながらない可能性があります」とか「局内工事費が3000円ほどかかります」とか言ってくる。
…ちょっと待て、なんかおかしいぞ。
お客さんに改めて聞いてみた。
「こっちに引っ越してきてからはインターネット使ってないです」
…( ̄□ ̄;
そ、それを早く言ってくれ~!!

これではっきりしました。

インターネットが使えない原因は、プロバイダに住所変更の手続きをしていなかったからです!!

「えー?電話が通じてたから大丈夫だと思ってたんだけど」
…あきませんてば。
ちなみに、プロバイダと電話回線はKDDI。
おいおいKDDIさん。
通話用の回線が引越ししたら、ADSLも引越しするに決まっとるでしょうが。
請求をひとまとめにしてるんだったら、それぐらい連携するのが当たり前でしょうが。

ってか、引越ししてから一度も使えていなかったんなら、そう言って欲しかったとですよ…。
ヒロシです…ヒロシです……。_| ̄|○

「引越し手続きは完了しましたが、開通までには3週間ほどかかる予定です」
…( ̄□ ̄;
軽く言ってくれるなぁ…。
まぁその間のADSL料金は、後日に日割りで払い戻しになるそうで、まだ良心的と言えましょう。
でも、引越しから今日連絡するまでの使えてなかった分は戻らないそうです。まーそれは仕方ありませんな。

とりあえずインターネットにつながらない状態でこれ以上の作業も困難ですし、お客さんも時間があまりなかったので、パソコン本体は引取りでチェックをかけることにしました。

仕事場に持ち帰り、ADSL回線につながっている状態でチェックをかけました。
ここでちょっと別のトラブルがあったのですが、それは次回に。

Spybot1.4は予想以上に隅々まで見てくれてました。さすがです。

●CnsMin:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\Downloaded Program Files\CnsMin.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CnsMin.dll
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\CNSEnable
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\CNSHint
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\CNSList
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\CNSMenu
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\CNSReset
C:\WINDOWS\Downloaded Program Files\CnsMin.dll
C:\WINDOWS\Downloaded Program Files\CnsMin.inf
C:\WINDOWS\Downloaded Program Files\CnsMin.ini
C:\WINDOWS\Downloaded Program Files\CnsMinEx.cab
C:\WINDOWS\Downloaded Program Files\CnsMinEx.dll
C:\WINDOWS\Downloaded Program Files\CnsMinEx.ini
C:\WINDOWS\Downloaded Program Files\CnsMinIO.cab
C:\WINDOWS\Downloaded Program Files\CNSMINIO.DLL
C:\WINDOWS\Downloaded Program Files\CnsMinSV.cab
C:\WINDOWS\Downloaded Program Files\CnsMinSV.dll
C:\WINDOWS\Downloaded Program Files\CnsMinUp.cab
C:\WINDOWS\Downloaded Program Files\3721\cnsio.dll
C:\WINDOWS\Downloaded Program Files\cnsio.dll

●ShopNav:
HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}
HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}

●DyFuCA.InternetOptimizer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt

●Wareout:
HKEY_USERS\.DEFAULT\Software\WareOut
C:\Program Files\WareOut\
C:\Program Files\WareOut\wocount.exe

●Alexa Related:
C:\WINDOWS\Web\RELATED.HTM

●VX2/a:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\SYSTEM\IEHELPER.DLL
C:\WINDOWS\SYSTEM\IEHELPER.DLL
C:\WINDOWS\SYSTEM\\IEHelper.dll

●Wind Updates:
HKEY_LOCAL_MACHINE\Software\Classes\AdToolsX.Installer

●CWS.WinSecurityCenter:
C:\WINDOWS\Favorites\AdultGambling.url
C:\WINDOWS\Favorites\Free Online Dating.url
C:\WINDOWS\Favorites\FUCK Real Girls.url
C:\WINDOWS\Favorites\Kill Annoying Popups.url
C:\WINDOWS\Favorites\Online Sex Poker Rooms.url
C:\WINDOWS\Favorites\Play Adult-Poker.url
C:\WINDOWS\Favorites\Remove Toolbars.url
C:\WINDOWS\Favorites\Spyware Uninstall.url
C:\WINDOWS\Favorites\SPYWARE.url
C:\WINDOWS\Favorites\XXX personal photos.url

Spybotのログから適当に整理しました。
全自動でここまで、お気に入りに入ってた怪しいリンクまで削除してくれて、かなりきれいになりました。

でも、Spybot1.4になって変なのは、インストール後の1回目の起動では、たった数秒のスキャンで「おめでとうございます!スパイウェアは発見されませんでした!」と出ること。
嘘つきやな~~。(-_-;

次にAdAwareSEのスキャン結果。

180Solutions(TAC index:6):41 total references
Alexa(TAC index:5):1 total references
CnsMin(TAC index:8):21 total references
CoolWebSearch(TAC index:10):14 total references
DyFuCA(TAC index:3):6 total references
Possible Browser Hijack attempt(TAC index:3):1 total references
SahAgent(TAC index:9):2 total references
Tracking Cookie(TAC index:3):156 total references
Transponder(TAC index:10):2 total references
Windows(TAC index:3):1 total references
WindUpdates(TAC index:8):2 total references
Zango(TAC index:6):1 total references

MRU List(TAC index:0):13 total references
SahAgent(TAC index:9):8 total references

詳しいところは省きますが、ひとつだけ。
SahAgentというものの削除ファイルなど。

ファイル
C:\WINDOWS\vrefglu8.exe
C:\WINDOWS\SYSTEM\kbucu4ip.dll
C:\WINDOWS\SYSTEM\va4llchl.exe
C:\WINDOWS\SYSTEM\SahImages (フォルダ)
C:\WINDOWS\SYSTEM\sahimages\gr_sahslogo_popup.gif
C:\WINDOWS\SYSTEM\sahimages\shopnow_pop.gif
C:\WINDOWS\SYSTEM\sahimages\popupDefault.gif

レジストリキー
HKEY_LOCAL_MACHINE\software\winsock2\layered provider sample

レジストリ値
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall
Value : DisplayName
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall
Value : UninstallString

ツールによって、見えなかったものもきれいに削除してくれたけれど、
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

これらは依然残ったまま。

ファイル名で調べてみると、こんな情報がありました。

エラー: "Windows保護エラー"が表示される(文書番号(ID):20020708230516942) :Symantec Technical Support Knowledge Base

この情報によりますと、エラーメッセージはさておき、

ラトックシステムの内蔵モデム「REX-PCI56」のドライバ「Country Selection(pctptt.exe)」「ptsnoop(ptsnoop.exe)」が影響しているようです。
システム設定ユーティリティでこれらのドライバを無効にしてもOS起動時に起動してきてしまうため、モデムのドライバ自体を無効にしてください。

…( ̄□ ̄;
無効にしてもダメだったのかよ…そりゃ消えないわけだ。
さらに突っ込んで調べると、このラトックシステムのモデムでなくてもこのファイルは使っているらしく、今回のNEC製のパソコンの内蔵モデムででも使っている、ということなのでしょう。
無理に消す必要もないってことですし、消したいならモデム自体を利用不可にすることだってことですね。
それにしても、こういう怪しい動きはしないで欲しい…紛らわしいから。


ということで、SpybotとAd-awareできれいにした状態で引き渡してきました。
今回はネット接続ができないので、対策ソフトのウイルスセキュリティ2005EXはお勧めしましたが、ネットにつながらなければあまり意味がないので、ネットにつながってからということになりました。
でも、インターネットが使えるのは3週間後…。
まー仕方ないっすね。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年08月28日(日) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« Generic Host Process for WIN32 Servicesのエラー いろいろ。 | トップページ | 持っててよかったシリアルマウス。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/5676460/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: スパイウェアはいましたが…。:

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« Generic Host Process for WIN32 Servicesのエラー いろいろ。 | トップページ | 持っててよかったシリアルマウス。 »