『スパイウェアMs4Hd』のクチコミ掲示板

HijackThisを行なってみたところ、ヘッダ17（ドメインハイジャック？）HKLM\System\CCS\Services\Tcpip\..\{D26 〜 略 〜 } : NameServer = 202.248.0.72210.131.113.126が見つかりました。いつから入ったのか分かりませんが、先日あるページを見ていて、URLをクリックしたら、アダルトの広告が出たので、すぐにスキャンしたのですが、その後IEでは特に困った事は有りませんでした。変わったのは、他のWebページに参照されているURLをクリックすると、前のようにページが全表示でなく、前に現れたアダルト広告と同じくデスクトップの上半分だけの表示になった事です。
OEの方では、シマンテックに出したメールの返事が届かないです。

HijackThisでヘッダ17のみ隔離すると、IEでもOutlook Expressでもエラーが出て表示出来なくなります。
再起動すると、また表示出来るようになりますが、ヘッダ17も又HijackThisのログに現れます。
もしMs4Hdなら、悪質なので、システムの復元が良いそうですが、本当にそれで大丈夫でしょうか？ 何かを削除してからの方がよいでしょうか？
WindowsXP SP2 Homeです。どなたか宜しくお願いします。

書込番号：3928447

追加の分も一つのスレに書き込まれた方がいいですよ。

以下本題です。
何故Ms4Hdと断定しておられるのかはわかりませんが、HijackThisにそれを示すエントリがあったのでしょうか？

で、017のエントリですが、
http://www.higaitaisaku.com/htkaiseki.html
の説明ではネットワークに必要な設定が表れる事もあるようです。
次に、
http://www.higaitaisaku.com/removems4hd.html
にMs4Hdに関する詳細がありますが、017にエントリを出すのはバージョン3のみのようですし、もっと素人　さん の示されているエントリとは内容が違うようです(新バージョン等の可能性は否定できませんが)。

(Ms4Hdである事が確実であれば)上記のページを実行されるか、(Ms4Hdの有無に関係なく)HijackThisもあることですし、そちらの質問掲示板の方で最新のログを診断して頂くかのどちらかが最善の道(リカバリー等を行わないなら)だと思います。

もっと素人　さん のスキルがわかりませんので、ここから先は既知の事かも知れませんが、念のために書いておきます。

HijackThisはスパイウェアの駆除に非常に有効なツールですが、これはシステムレポートのログを取り、その中から悪玉を手動で選んで削除するものです。
つまりログには悪玉だけでなくシステムを正常に運用する為に必要なものも表れます。
ですから削除にはそれを見極める知識が必要です。
又、必要なものを削除した場合、HijackThisのバックアップからでは戻せない部分もあります。
ですので自分で判断できない場合は、できる人に見て頂いて下さい。
間違ってもログのエントリを全て削除しようとしてはいけません。

書込番号：3929232

はい、↑後で気がつきました。すいません。出来れば、「追加」の分は削除をお願い致します。

都の住人さん、前回に続いてありがとうございます。
017をMs4Hdかもしれないと思ったのは、マニュアル本の読みかじりで、017はスパイウェアと断定的に考えていた事、
Hijackthis Entry Databaseで私の017のログを検索しましたら、Ms4HdかC2.lopと検出された為です。
http://www.higaitaisaku.com/removems4hd.htmlのページを見て、017だけでなく全体的にVer.3に似ていると思いました。
でも、必要な017もあるということなので、分からなくなったというのが本音です。
削除は怖いので、隔離しただけでしたが、ＰＣがおかしなくなったので、システムの復元後は何もせずにそのままにしています。他のヘッダのもいじっていません。
システムの復元をしましたら、参照ページは全表示に戻りました。
外国語の見慣れないメールが届いたり、シマンテックからの返事が届かない、ニュースメールが来なくなったなど不可解な事はありますが、Ms4Hdの解析を使わせて頂きましたら、感染と出なかったのでしばらく様子を見ることにします。
ご紹介のページに相談することも考えましたが、自分なりに判断してこちらにしました。
ありがとうございました。m(__)m

書込番号：3933045

SPYBOT S&D の事で質問されてた方だったんですね(つい最近の事なのに全然気づいてませんでした ^_^; )。

ちょっと心配なので、もう少し書き込みさせて頂きます。
NameServer = 202.248.0.72210.131.113.126とありますが、IPアドレス(202.248.0.72210.131.113.126の部分です)はこれであってますか？

http://www.higaitaisaku.com/htkaiseki.html
の017の説明にありますが、そのIPアドレス(NameServer = の後にアドレスが2つでるようです)を調べられましたか？
上記ページから、「まずIPを調べてみて下さい。」と書いてある所をクリックして、飛んだページの「〜で自分のIPをルックアップ」と書いてある所の項にIPを調べる所へのリンクが有ります。
そのリンク先のサイトで前記の2つのアドレスを調べて見て下さい。
もしお使いのプロバイダーのものであれば必要な設定の可能性が高いです。

あと、私はスパイウェアの事ばかりを気にしていたので、見落としていましたが、
>上半分だけの表示になった事です。
の事ですが、例えば起動時のウィンドウの大きさであれば、
http://homepage2.nifty.com/winfaq/c/hints.html#274
にある方法で直せますし、その表示の変わったウィンドウもこういった方法で直せたのかも知れません。

繰り返しになりますが、スパイウェア対策の中でもHijackThisを使った駆除は最もスキルを必要とするもののひとつだと思いますので、注意して使用して下さい。

簡単なシステムレポートはSPYBOT S&Dの高度なモードでも取れますし(私はこれを使ってます。もちろん感染の疑いがあればHijackThisを使う事も考えようかとは思いますが。今はまだ使ったことは無いです)。
http://fine.tok2.com/home/heto2/02603Spybot/mokuji.htm
を参考にして下さい(バージョン1.2の頃の説明ですが基本的に同じですので)。

書込番号：3934186

レスが遅くなりすいません。ご丁寧に有り難うございます。m(__)m
教えて頂いたように、自分のIPを調べて、インターネットから接続を切らないうちにHijackThisのログを取りました。残念ながら、自分のIPと017のログのIPは一致していませんでした。

Ms4Hdの次はlopかと笑われてしまいそうですが、
http://www.higaitaisaku.com/removelop.html　の「手動での除去方法」のところにあるC2.lop（↑Databaceで先に検索）の特徴を見ていたら、そこに書いてあるのと同じ条件の組み合わせが、自分のヘッダ02と03に某toolbarの名前でありました。それは削除済みのものなので、file missingと表示されていて良かったのですが。
分からないのは、http://www.higaitaisaku.com/htkaiseki.html
のヘッダ03にも例が出ているToolbar:Norton AntiVirsのログです。
これと数字も全く同じものが03にありますが、02にもノートンの名前で見つけました。末尾の表示も同じです。なりすましというのも有るそうですが、他のNortonを使っていらっしゃる方はいかがでしょうか？
よく知らないのに、質問ばかりで恐縮です。

書込番号：3939661

>自分のIPと017のログのIPは一致していませんでした
そうではありません。私の3934186の書き込みの最初に挙げたリンク先とその下の私の書き込みを読んで頂いて、017エントリの二つのIPアドレスの素性を調べて頂きたかったのです。
で、202.248.0.72及び210.131.113.126(で間違いないですよね？)を上記の方法で調べました。国内のプロバイダーのものでした(念のためにご自分でもお調べ下さい)。
ですので必要な設定だった可能性があります。

次に03のエントリですがブラウザのツールバーにノートン関連のものはないのですか？Norton AntiVIrus とか Web アシスタント というものです。
あるならエントリに表れても当然だと思いますが？

どういう経緯でスパイウェアの駆除を始められたのかは知りませんが、失礼ですが、正直ご自分で解決されるのは難しいように思います。
やはりその手の掲示板で解決を図られた方が解決できると思います。
私ではとてもじゃないですけど、解決方法まではわからないです。
また、HijackThisで下手に削除等を行ってシステムに問題を発生させてしまうと、復旧するのが大変です。

書込番号：3942463

すいません。
>お使いのプロバイダーのIP
の意味を間違えていました。ご紹介のページを見たら、自分のIPをルックアップと書いてあったので、自分のIPだと思い、コントロールパネルのネットワーク接続のところで、IPを確認してからログをとっていました。

ノートンのツールバーについては使った事も見かけたこともありませんが、ヘッダ03や02にNortonToolbarがあってもおかしくはないと思います。ですが、被害対策のページに書かれたC2.lopの条件（末尾が同じものがセットになっている）が有る場合はどうなのか、自分で答えを見つけることが出来ませんでした。
ヘッダ02と03のノートンに共通のNAVshExt.dllをスタート→検索で探したら、Norton Internet Secuqityの名前でプログラムファイルが見つかりました。右クリックで開いたら、マイクロソフトWINDOWSの一部でDynamically Loaded Libraryというファイル名でした。WINDOWSが使っているアプリケーションだそうです。なんだか分からないですが、もうやめておきます..。ログもIPも個人情報なので、あまりあちこちに出すのも抵抗がありますし、なるべくならこちら方にと思いました。
017については納得出来ました。調べて下さってありがとうございます。m(__)m感謝しています。

書込番号：3943713

>Norton Internet Secuqityの名前で
Norton Internet Secuqityをお使いならエントリがあっても不思議ではないかと。
ツールバーの所を右クリックしてチェックをつければ出てくると思います。

書込番号：3943917

本当ですね。ありがとうございます。それなら「WINDOWSのアプリケーション」っていうのも分かります。
また宜しくお願いします。m(__)m

書込番号：3944169