ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« ISDNのTAのUSB設定。 | トップページ | 検知してくれないアドウェア。 »

2005年9月29日 (木)

WindowsMeなのにsvchost。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

今回のお客さんは、パソコン2台の不具合解消の依頼。
実は1年ほど前に、別件でお伺いしたお客さんだったんですが…2台ともけっこうしつこいアドウェアとスパイウェアにやられていました。
定番ツールが起動できなかったり効かなかったりで、かなりヒヤヒヤさせられました…。
まずはどうにも動かなくて困っておられたWindowsMeの方。
マイコンピュータを開いても何も表示されない、ブラウザを出すとやたらとヤヤコシイサイトを開いてくれる、という重症です。

とりあえず定番ツールを入れてみようとしてCD-ROMを入れたら…吐き出しやがりました(-_-;)
あとでデバイスマネージャで確認したら、例によってTOSHIBA製のCD-RW/DVD-ROM DRIVE、SD-R1002
なんでも、買ったときからこうだったとか…もうこれはダメドライブ決定です。

とにかく吐き出すのを何とか押さえてやってみたんですが、マイコンピュータを開いたら…アイコンを表示させてくれません。
おいおいマジかよ~。
フォルダオプションをWEB表示から通常表示に戻すなどして、ようやく表示されたけど、厄介なことをしてくれます。
なんとかいつものHijackThisを入れて、起動項目をチェック。
チェックの項目の中には、現在起動中のプロセスも出るのですが…。

C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE

なんだこりゃ?
SVCHOSTは、Windows2000/XPのプロセスだろ?
しかもフォルダ名がDRIVERLOADってなんじゃいな?
malware01
(クリックすると拡大します)
怪しい…怪しすぎる。
でも、起動項目にはSVCHOST.EXEがどこにもない。うーむ。

とりあえず、怪しいと思われる以下の項目をFIX。

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\HBWZQ.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\HBWZQ.DLL
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O13 - WWW Prefix: http://www.sex31.com/sex?
O13 - Home Prefix: http://www.sex31.com/sex?
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.140,85.255.112.26

そして再起動。
…き、消えとらん!!

C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE
C:\DRIVERLOAD\SVCHOST.EXE

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\HBWZQ.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\HBWZQ.DLL
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

いったんセーフモードで起動してみたらどうだ?
…全然直ってません。ネット接続してないのにムリヤリにウィンドウを開こうとします。
セーフモードですら消えてくれないなんて…。
うーむ、HijackThisで検知していない項目で起動されているんだろう。
HijackThisはMsconfigの項目プラスアルファでの起動項目などしか検知しない。
実際、意外とその他にも自動起動のポイントはあるらしいからなぁ。
特に今回は、セーフモードででも起動しているから…。

それにしても、どう考えてもWindowsMeでSVCHOST.EXEはおかしい。
ということで、SVCHOST.EXEをレジストリ内検索。…ありました。

HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name
regedit01
(クリックすると拡大します)
こんなところで起動がかかるんでしょうか?
とりあえず、こいつのファイル名を書き換えて様子を見ることに。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
regedit02
(クリックすると拡大します)
こんなところででも…。
それにしてもたくさんありますねぇ。
でも起動のかかっているのは5個なので、数からすると合っているようです。
これも全部ファイル名を書き換えて様子見です。
XPsys.exeなんていう怪しげなものもファイル名書き換えです。
そして再起動。

もう一度HijackThisでチェック。
…はぁ~なんとかいなくなりました。
ブラウザのトップページを無難なYahoo!あたりに書き換えて、何度か再起動して現象が再現しないことを確認。

仕上げにSpybotとAd-Awareでチェックをかけておしまい。
さて何とか片付いた。
さぁ次だ。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年09月29日(木) ウィルス・スパイウェア関連, ソフトウェア不具合関連, ネットにつながらない・遅い, ハードウェア不具合関連, パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« ISDNのTAのUSB設定。 | トップページ | 検知してくれないアドウェア。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

ハードウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/6179052/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: WindowsMeなのにsvchost。:

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« ISDNのTAのUSB設定。 | トップページ | 検知してくれないアドウェア。 »