eiko1196 の 異国見聞録

知恵袋より
ワンクリの駆除ツールで請求画面を駆除したら、駆除ツールが立ち上がりっぱなしになり、シャットダウンできなくなりました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1069752640

ワンクリの駆除ツールで請求画面を駆除したら、駆除ツールが立ち上がりっぱなしになり、シャットダウンできなくなりました。
http://fos.sitemix.jp/blog/studio/oneclick
駆除ツールをアンインストールしましたが一部しかできないし、ワンクリのファイル自体もPC内に残っています（請求画面は消えました）
今は「セットアップ」というタブがスタートの右から消えずに、シャットダウンの処理を受け付けなくなりました。

回答者の akuda_ikanさんというのがどの程度の力量なのかわからないので、調べてみると。
http://bbs.higaitaisaku.com/cbbs.cgi
higaitaisaku.com の回答者さんでしたか。
それなら、信じてよさそうですね。

さて、その回答内容なのだが
一部抜粋

そのツールでは以前から動作に関するトラブルは何度か聞いてましたが、とうとうWindowsまで正常動作しなくなる不具合まで発生しましたか。作者である空牙さんのサイトに問い合わせるのが筋ですが↓
http://form1.fc2.com/form/?id=388597
>※セキュリティソフト等を完全に停止させない状態で駆除ツールを実行して、駆除出来ない等、
>利用者の環境の問題（セキュリティツールが駆除動作を妨害している）については一切対応しません。
と書いてますので、おそらく不具合への対処してくれる可能性は少ないと思います。

リンク先は、ソフト工房「空の牙」への問い合わせフォームとなっており、注意書きが書いてあります。
抜粋

※セキュリティソフト等を完全に停止させない状態で駆除ツールを実行して、駆除出来ない等、
利用者の環境の問題（セキュリティツールが駆除動作を妨害している）については一切対応しません。
（現在一番多いパターンの問い合わせです。駆除を実行する前に注意書きくらいは、ちゃんと読んで指示されている通りの手順で行ってください。）

こっち
ワンクリウェア駆除ツール(test版)更新停止中
http://sasi40dx.cs.land.to/
と、何が違うのだろう？

もしセキュリティソフトが当該アプリケーションの本来の動作を妨げているなら、常駐を停止させなければならない。
停止させるのならば、その間はインターネットへの接続も物理的に遮断する必要が出てくる。
くだらない好奇心でクリックした代償がこれだけリスキーだとは、クリックした人間は思いも及ばないだろうな。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2011.11.11 追記
ある方からの情報をいただきましたので、ここに追記してコメントをいただいたお礼をしようと思う。

ベクターの方はフォルダと拡張子だけで判定しているふしがあるそうです。
そして、

プログラムでファイルのチェックを行わず、ユーザーにパスとファイル名で判断するようにダイアログが出るようです。
その為、誤検知によるトラブルがついて回るようです。

という分析をなさった方がいらっしゃいます。
ワンクリウェア駆除ツール(test版)更新停止中のほうは、フォルダの削除については慎重につくられているそうです。
ランダムな名前が、ランダムでなくなる可能性もありますものね。


作者さんといえば、おとーさんのところで記事になっていましたね。
rebindとはレベルが違う
http://otou3desu.blog.shinobi.jp/Entry/2146/


また、参考サイトとして以下のスレッドをおしえていただきました。
ノートン 360について:ワンクリックウェアに対する挙動
http://communityjp.norton.com/t5/forums/forumtopicpage/board-id/N360/thread-id/257/page/1
はなしは、ずれますが、このスレッドで話題にのぼっている「ノートン パワー イレイサー」ですが、やけを起こしても使わんほうがいいんじゃないだろかというくらいの注意書きが書かれています。
［ノートン パワー イレイサーのダウンロード］
http://security.symantec.com/nbrt/npe.aspx?lcid=1041&serviceid=181&pname=nav&pversion=na&origin=thankyou&env=beta&layout=esd&osver=5.1&vendorid=na&ispid=na
抜粋

ノートン パワー イレイサーでは脅威の検出に積極的な方法が使われるため、一部の正規のプログラムが削除対象として選択される危険性があります。このツールは十分に注意して使ってください。

な。すごいやろ。

Open↓

499225 hostsファイルについて 2010/12/07-05:21
http://pasokoma.jp/49/lg499225
会社のネットワークの中だけで何かをやるんでしょうね。
で、
higaitaisaku.com のサイトが紹介されているんです。
http://www.higaitaisaku.com/hosts.html
そこに
http://pasokoma.jp/49/lg499225#499238

わたしのウイルス対策ソフトは全く反応しないけどな。
何が検出されたんでしょうね。Norton Security だけじゃなぁ。


大きな声では言いませんが、higaitaisaku.com とこのブログは相互リンクしてますから。（エッヘン）

AviraAntivir を使っています。 先日ネット中に「ウイルスに攻撃されました」という警告がでて推奨通りに進めたら、「AV7instal_2048-5」というものをダウンロードするようになりました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1438751184
この「AV7instal_2048-5」なんだが、
AV7INSTAL_2048-5[1].EXE, Prevx
http://www.prevx.com/filenames/X417770236447305235-X1/AV7INSTAL_2048-5[1].EXE.html
さて、これで本当に解決するかどうかは、やってみないとわからんなぁ。

どちらにしても、Avire が「AV7instal_2048-5」というファイルをダウンロードするとは思えんわな。

~~~~~~~~~~~~~~~~~~~~~
こっちは、もっとすごいというか、信じられん質問
韓国の俳優のサイトから送られてきたMSNのメールにサインしたんです。そこから
administratorというソフトを送り込まれ、パソコンを自分の物のように支配されています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1338753848
抜粋

韓国の俳優のサイトから送られてきたMSNのメールにサインしたんです。そこから
administratorというソフトを送り込まれ、パソコンを自分の物のように支配されています。
これを解除するにはどうすればよいでしょうか？ 仕事のファイルも何度か使えなくされています。
こんなことをする人を告訴することは可能でしょうか？ 今までに何度も修理費を払い使えるようには
なるんですが、いつまでたってもそのMSNの支配 administratorから逃げられません。
無線LANにも進入され 家族のパソコンから家の様子を覗かれてます。

被害妄想だと思うんですよ。
修理費を払っているということは、どこか専門のところに依頼したんでしょうから、事情を説明した時点で完全なリカバリをかけてくれるでしょう？

この人を思い出すな
http://pasokoma.jp/47/lg477681

Windows Update が 2008年1月から停止しておりなおかつ、常駐型のウイルス対策ソフトが1年前から無効になっているノートパソコンなんですが、お約束通り動きが重い。
もうここまできたらリカバリを覚悟すればいいわけだからなんでもできるわな。

だけどリカバリしちゃなんねいらしい。どうやら工場出荷状態に戻されてはこまることがあるんだって。ああそうですか。

まず、隠しファイルを可視化しようとすると　すべてのファイルとフォルダを表示する　の項目が有効にならない。その場ではチェックが入るのだが、フォルダオプションを閉じてまたあけるとチェックがはずされているという状態。
http://pasofaq.jp/windows/mycomputer/checkedvalue.htm
ここのとおりに、レジストリを書き換えてとりあえずは可視化をキープすることができた。
（ありがたいサイトだね、どこかのFAQも真面目に取り組めばりっぱなサイトになるのにもったいない）

可視化すれば削除は容易です。さくさくと削除できます。

WORM_AUTORUN.CCまたはW32.SillyFDCの完全駆除　
http://hokanko2008.seesaa.net/article/90406666.html
これを参考にW32.SillyFDを削除します。
けっこうめんどくさいです。


メモ帳で一つだけ開いてみました。

[AutoRun]
open=qw6t0mpm.exe
shell\open\Command=qw6t0mpm.exe


媒体となったカメラ用のメディアも展開してみると同じような隠しファイルが取り憑いていましたので、さくっと削除。

さて問題は、どれだけのパソコンとメディアが感染しているかということ。
ほとんど全滅状態なんだろうなぁ。

Open↓

ここ半年ぐらいの傾向なんですが
114 - 知百事 通天下　という中国の検索サイトから『k-defense8』で飛んでくる中国IPの閲覧者が一日にひとりはいるんです。
到達するページは
http://cacnet.blog2.fc2.com/blog-entry-1260.html
何の情報も無いんですがね。
でね、ちょっと調べてみたんです。
Kings Information & Network　より
http://www.kings.co.kr/HTTP/products/products01_01.php
k-defense8 じゃなくて、k-defenseR5 という製品が紹介されています。
一部抜粋

최근 온라인 서비스 거래가 확산되고 있는 가운데 각종 고객정보(ID, PW 등)에 대한 해킹 사례 또한 급증하는 역기능적 요소로 사회 문제화 되고 있습니다. 이에 각 온라인 서비스 업체(인터넷뱅킹, 온라인주식거래, 전자상거래, 온라인게임 등)는 개인정보 유출의 근본적 취약 부문이라 할 수 있는 온라인 고객의 키 입력 정보에 대한 해킹방지 서비스를 제공해야 하는 필요성이 있습니다.

K - Defense8 Control は、『キーボードのセキュリティー』と説明されていますから、似たような製品なのでしょう。
では、これがなぜ管理者（パソコンユーザー）の知らぬ間にインストールされてしまうのか？

どうやら、そのシステムを取り入れたゲームソフトやネットバンクのアプリケーションをインストールすると同時にインストールされてしまう仕組みのようなんですな。
だから、一旦、K - Defense8 Controlをアンインストールしても、似たようなゲームサイトやネットバンクを利用するとまたインストールされてしまうらしいです。

K－Defense8 control - Google 検索

日本語ではあまりヒットしないんですよね。
K - Defense8 - Google 検索

トロイの木馬が削除できません。助けてください。 - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1233875517

Avira AntiVir ではないということです。
そんなんあるんかいな？ということで調べてみますと。

AntiVirは除去ガイドです。どのように不正Antivir.exeを削除する？ |最新の脅威を除去ガイド
機械翻訳のようなので、ちょっと苦しいところもありますが、専用の除去ツールがあるらしい。
で、そのダウンロードできるページに飛ぶと

それで、
http://www.loaris.com/download/loaristrojanremover.exe　へ、直行するとダウンロードできるわけです。

実行をポチッとな。
インストールが完了すると

ここから先は、ほとんどノンストップのオートマチック。

なんか、サーチをはじめとる。

これが、いっぱい出てくるんだよ。
こんなに侵入されていたのか？私のお気に入りの Paint.NET のプログラムにケチ付けとるし。

恐ろしい結果がでてます。（この時点でサーチの50％が終わったところなんですがね）

次の工程に移るためにクリックすると

アクチベーションコード？ライセンス？
とりあえず、進もう。
するとこんなページに行き着く
https://secure.avangate.com/order/checkout.php?CART_ID=2a50130424aacf19d34e9c5462869337

ガクッ
怪しくないかこのソフト?

昨日、Spybot - Search & Destroyをインストールしたパソコンがあるんですが、本日起動させたところウイルス対策ソフトがhostsファイルの書き換えを見つけた。

hostsファイル（202KB）とhosts.20071025-142947.backupファイル（1KB）があった。

backupファイルの記述は、127.0.0.1 localhost　だけなのだが、
書き換え後のhostsファイルは、7292行にもわたって　127.0.0.1　にアドレスが追加されていた。
不思議だったのは、コメントとして

# Start of entries inserted by Spybot - Search & Destroy
～
# This list is Copyright 2000-2007 Safer Networking Limited
# End of entries inserted by Spybot - Search & Destroy

こんな記述があったこと。
調べてみると

higaitaisaku.com　より
■94915 / 親階層) 　hostファイルの大幅な変更が検出されました
これと同じだ。

Spybot - Search & Destroy の仕業でしたか。

Spybot-S&D にて、ActMon-Proが検出されました。


Keylogger だと言ってますね。
そりゃ穏やかじゃないわね。
Spybot-S&Dの定義ファイルは、2007-04-18
ActMon-Pro でググッてみれば簡単に答えは出るんですが。
参考サイト
higaitaisaku.com より
http://bbs.higaitaisaku.com/diagnostic/cbbs.cgi?mode=n_w&no=0
（これは、日が経つとアドレスが変わるかな？）

OKWaveコミュニティー　より
QNo.2939124 「ActMon‐Pro」について
http://okwave.jp/qa2939124.html

unknown-user さんがお応えになっておいでですが、Spybot-S&D の誤検出のようですね。

ついでに、Zipdll.dllを探してみると、ありましたね。

Open↓

【アダ被】フォーラム よりｇｏｇｇｌｅ．ｃｏｍにご用心 http://forum.higaitaisaku.com/viewtopic.php?t=1403 jtaka[BJCB]さんありがとう御座いました。群青さんお願いします。（つくづく他人任せだなぁ－わたし） それでせめて情報提供と解析の状況報告をアップしていきたいと思います。 では、www.goggle.com　にアクセスすると以下の画面が出てきます。
右上でカウントダウンが始まりますが、意味不明です。それよりも中央の四角の中のほうが邪悪です。
画面の中、どこもクリックしないほうがよさそうです。（実際、私もこの先には進んでいないんですがね）ここからは、憶測ですが、これをクリックするとどうかなちゃうんでしょうね。 つづく
そうそう、自慢しとくことを書いておきましょう。
このBlogは、【アダ被】と相互リンクをしているのです。
掲示板ネタ・皮肉系ではありますが･･･。

Copyright (c) eiko1196 All Rights Reserved.

ひがいたいさくドットこむ　より
PCトラブル質問掲示板 [One Tree All Message]
■85150 / 親階層) 　ネットに接続すると不定期に中国サイト（mofileTVなど）のページがIEで開きます
http://bbs.higaitaisaku.com/cbbs.cgi?mode=all&number=85150&type=0&space=0&no=0
>O4 - HKLM\..\Run: [バイドクター] C:\Program Files\vidoctorjp\vidoctorupdjp.exe -update
>"DisplayName"="バイドクター"
へぇ、こんな風にカタカナでインストールされるんですか。

ファイヤーウォールもZoneAlarmをかましてるようなんですが。
おや、PeerGuardianも入れてますか。
P2Pでもやってたのかな？
それと、これなんだろう？アンインストールログの
>"DisplayName"="(ﾗﾀﾃ貪ｽﾌ)"
アジア系のソフトだろうなぁ。

かっこよろしいなぁ。



ああ、ママ姐さんの作品ですか、品がいいですね。
http://www.higaitaisaku.com/testlogo/mama/04.html

（画伯に期待してたというわけではないんですが）

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
追記
みなさん、Blog主をおいといて盛り上がってますね(^▽^笑)。
バナーを作られたということですのでご紹介を。
http://www.higaitaisaku.com/menu2.html


これなんか可愛くていいですね。

えっ？相互リンク受け付けてなかったの？
ありがたい限りです。
http://www.higaitaisaku.com/menu3.html
ちょっと宣伝しとこっと(^▽^笑)。

SiteAdvisor：【アダ被】場主のblog　より
http://blog.higaitaisaku.com/2006/08/siteadvisor.html

確認してみました。




ああ、かわいそう。
#ネタにしてるんじゃないですから、同情してるんですから、群青さん。

ある方のサイトから見つけた。

JWord株式会社を訪問してみました
http://www.yoshibaworks.com/ayacy/inasoft/talk/jwm/index.html
一部抜粋

これらのことから、「スパイウェア説は嘘である可能性が高く」「このような噂が発生することは、JWordに対する正しい周知がなされていないためだ」という結論に達した。　特に、怠慢な態度をとる一部のウィルス対策メーカーには怒りすら覚えた。
　以上のことから、JWordに対する正しい知識を広め、一部のウィルス対策メーカーへの反論の意をこめて、JWordの同梱を決めた。
　これはリスクの高い賭け（ハイリスク）であることに間違いはないが、JWordの同梱により多少の利益を得ることができるので、同時にハイリターンであるとも言える。ハイリスクハイリターンは望ましい賭けであると考える。

私から言わせてもらえば、ど迷惑なのは一部のウィルス対策メーカーではなくJWordの方なんだが。

//jp.errorsafe.com/

参考画像


いきなり出てきました。もはや、ブラウザを終了させるしかありませんでした。
この場合私は『閉じるボタン』を信用していません。
物理的に遮断するのも一つの手段としています。
それで、セキュリティを高めていざ検索。
jp.errorsafe.comのトップページ



このサイトの評価
Symantec Security Response - ErrorSafe
http://www.symantec.com/region/jp/avcenter/venc/data/jp-errorsafe.html
インストールしちゃうと面倒なことになりそうです。

参考サイト
【アダルトサイト被害対策の部屋】より
Error Safe
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=476
WinAntiVirusPRO 2006 (HJT DB)
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=467
WinFixer 2005の対処法
http://www.higaitaisaku.com/removewinfixer.html
当サイトの関連記事
WinAntiVirusPRO 2006　に出会う
http://cacnet.blog2.fc2.com/blog-entry-586.html

Open↓

higaitaisaku.com の　情報掲示板 より
情報掲示板 警察庁を　どんどん　活用しよう！
http://bbs.higaitaisaku.com/cbbs.cgi?mode=al2&number=1417&rev=&no=2&KLOG=2
あんた、1965年生まれか？

大人の日記 - livedoor Blog（ブログ）
http://blog.livedoor.jp/miku1965/
　↑アドレスのケツのmiku1965のところな。

Windows.FAQ - ウィンドウズ処方箋　より
win anti virus pro2006 - obaka 05/15-01:13 No.618235

昨日、一応、その指示にしたがって処理したのですがあちらの掲示板の、質問箱のガードが強固で、ログのとり方がわからずこちらに投稿してしまいました

敷居が高かったと言う意味なのか、以前にハッキングでもやって群青さんにアク禁くらってるとか。

とあるサイトを開いたところ




ここからが戦いとなりました。

Open↓

相互リンクで、記事にしなきゃならないことを思い出した。

あの、
【アダルトサイト被害対策の部屋】と相互リンクが成立しました。
（ちったー驚いておくれ）

気付いたのは、ちょっと前だったのですが、
【アダルトサイト被害対策の部屋】-リンク集 より
http://www.higaitaisaku.com/menu3.html
もっと厳密に表記するなら
http://www.higaitaisaku.com/menu3.html#kankeinai
そうなんです、関係ないというそれはそれは、なんのリンクじゃい？
というカテゴリーに入っております(^▽^笑)。
（「パソコン困りごと相談」ネタ中心に。おもろい）とコメントされておりますが、そんな中においても、やっぱり浮いてます(^▽^笑)。

群青さん、ありがとうございました。

あの、【アダルトサイト被害対策の部屋】の群青さんより念投稿をいただきました(^▽^笑)。

eiko1196 ( siren )のBBS（自分でもあんまり見てない←いいのか！）の記念投稿だったり - 群青(さん)
よくぞ、お越しいただきました。それもわざわざ修正URLまでご丁寧にいただきまして、感謝にたえません。
これもひとえにsirenの賜物（以下自粛…。


早速ですが、
【アダ被の部屋】のblog　より
　サイト名　2004年05月02日

もしかして　2005/09/11(日) 07:13:31
この件だったと思います。
記念にトラックバック打っちゃおっと(^▽^笑)。