<tr><td colspan=4>お客様番号:12345OS名:Windows98パソコン名:pc station m350ソフト名:IEインターネットエクスプローラ起動時に表示されるページが、あるページが必ず表示されるように、何かプログラムを植え付けられたようです?。(ネットサーフィン中に?) たとえインターネットオプションでabout:blankに設定しても、一度、電源をおとしてしまうと、次の起動時には、またそのアドレスになっています。なんとかしたいので、よろしくおねがいします。
◇-IEのホームページの設定-kkkk(4/10-22:56)No.1056
 ┗Re:IEのホームページの設定-ぴーこ(4/10-23:14)No.1059
  ┗Re:IEのホームページの設定-やまふみ(4/11-06:51)No.1080
   ┗Re:IEのホームページの設定-kkkk(4/11-15:31)No.1097
    ┗Re:しっかり「トロイの木馬」もらってますね。-やまふみ(4/12-02:23)No.1152
     ┗Re:付け足し-やまふみ(4/12-02:36)No.1153
      ┗ありがとうございます。でもだめみたい?-kkkk(4/12-13:49)No.1180
       ┗Re:見てるかな?-やまふみ(4/12-23:21)No.1231
        ┗やはり書きかえられます-kkkk(4/13-13:46)No.1270
         ┗Re:やはり書きかえられます-やまふみ(4/13-15:13)No.1276
          ┗まいど、どうもありがとうございます-kkkk(4/13-22:16)No.1304
           ┗Re:えぇ〜っ、犯人をそもそも削除してなかったの?-やまふみ(4/14-00:05)No.1316

▲このページのトップに戻る
1056IEのホームページの設定kkkk 4/10-22:56

お客様番号:12345
OS名:Windows98
パソコン名:pc station m350
ソフト名:IE
インターネットエクスプローラ起動時に表示されるページが、あるページが必ず表
示されるように、何かプログラムを植え付けられたようです?。(ネットサーフィ
ン中に?) たとえインターネットオプションでabout:blankに設定しても、一
度、電源をおとしてしまうと、次の起動時には、またそのアドレスになっていま
す。
なんとかしたいので、よろしくおねがいします。

▲このページのトップに戻る
1059Re:IEのホームページの設定ぴーこ 4/10-23:14
記事番号1056へのコメント
kkkkさんは No.1056「IEのホームページの設定」で書きました。
>お客様番号:12345
>OS名:Windows98
>パソコン名:pc station m350
>ソフト名:IE
>インターネットエクスプローラ起動時に表示されるページが、あるページが必ず表
>示されるように、何かプログラムを植え付けられたようです?。(ネットサーフィ
>ン中に?) たとえインターネットオプションでabout:blankに設定しても、一
>度、電源をおとしてしまうと、次の起動時には、またそのアドレスになっていま
>す。
>なんとかしたいので、よろしくおねがいします。
http://homepage2.nifty.com/winfaq/superfaq.html#370
(#370までコピペで)
を参考にがんばってください。

▲このページのトップに戻る
1080Re:IEのホームページの設定やまふみ 4/11-06:51
記事番号1059へのコメント

ちょうどヨソのスレッドで使ったリンクが残ってた。

http://www.zdnet.co.jp/help/howto/security/p04/index.html

こちらの内容も良く読んで対策をしっかりしましょう。

▲このページのトップに戻る
1097Re:IEのホームページの設定kkkk 4/11-15:31
記事番号1080へのコメント
ぴーこさん、やまふみさん、ありがとうございます。もうすこし細かいところをき
きたいのですがよければ回答ください。
 
msconfigのスタートアップでOPQ Fileというやつの、チェックをはずすと、OKで
あることがわかりました。

やまふみさんに教えていただいたサイトの3/4ページで
「HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main\」を参照して,書きかえられた部分を元に戻そう
とあります。

まず、元がどうなっていたのかがわからず、たぶんSearch Barと
Search PageとStart Pageここが、それぞれ違っているので書き換えようとおもい
ます。ぜんぶabout:blankにしてしまっていいものでしょうか?

それと,「HKEY_CURRENT_USER\Software
\PolicInternet Explorers\Microsoft\InternetExplorer
\Restrictions」に「NoBrowserOptions = "1"」とあればこれを削除する。

とあるのですが、\Restrictions\というホルダがないようです。その代わり
\Infodelivery\CompletetedModifications\となっています。

▲このページのトップに戻る
1152Re:しっかり「トロイの木馬」もらってますね。やまふみ 4/12-02:23
記事番号1097へのコメント
>たぶんSearch Barと
>Search PageとStart Pageここが、それぞれ違っているので書き換えようとおもい
>ます。ぜんぶabout:blankにしてしまっていいものでしょうか?

ありゃりゃ、モロ「トロイの木馬」もらってますね。
ウイルスチェックソフトは使ってないってことかな。
なんかもう、他にもいろいろもらっていそうだから、
「リカバリお勧め」なんだけど、基本的に人のPCことだからネ。
今回の件の解決策だけ紹介しておきます。

http://www.symantec.com/region/jp/sarcj/data/t/trojan.js.cover.html

この中のレジストリのバックアップ方法は必ず読んでやっておくこと。

それから「まずウイルスチェックして感染ファイル削除」となっていますが、
ウイルスチェックソフトがないか、
まともに作動していない状態らしいですから、

http://housecall.antivirus.com/housecall/start_jp.asp

へ行って、項目4の「マイコンピュータ」にチェックを入れて、
隣の検索ボタンを押してウイルスチェックのこと。

Search Page と Start Page は削除となっていますが、
これは書き換えでも良いでしょう。
元が分からないならこの値をセットしておけば無難かな。
検索ページがMSNサーチで、スタートページがMSN。
マイクロソフトが押しつけてくる初期値です。
ここに記述したアドレスをそのままコピーして、
レジストリに張りつけするといいでしょう。

・Search Page

http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
http://search.msn.co.jp/ でもいいと思うが未確認)

・Start Page

http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
http://www.msn.co.jp/home.htm でも同じこと 確認済み)

Search Bar は削除。

>それと,「HKEY_CURRENT_USER\Software
>\PolicInternet Explorers\Microsoft\InternetExplorer
>\Restrictions」に「NoBrowserOptions = "1"」とあればこれを削除する。
>とあるのですが、\Restrictions\というホルダがないようです。その代わり
>\Infodelivery\CompletetedModifications\となっています。

は、そういうキーがなかったのなら、それで良いでしょう。
「あれば」ですから。ただしもう一度良く確認のこと。

しかし、ホントにウイルスチェックソフトを稼動させてなかったシステムなら、
この際リカバリしたほうがいいと思いますが。

▲このページのトップに戻る
1153Re:付け足しやまふみ 4/12-02:36
記事番号1152へのコメント

>・Search Page
>
>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

=iesearch までコピーのこと。

>・Start Page
>
>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

=msnhome までコピーのこと。

▲このページのトップに戻る
1180ありがとうございます。でもだめみたい?kkkk 4/12-13:49
記事番号1153へのコメント
やまふみさん 度々ありがとうございます。

まず、Norton Anti Virusでは検出されません。(うまく機能してないのでしょうか?)
ウイルスバスターオンラインスキャンで3つのウイルスが見つかりそれを削除しました。

その後Search Barを空白にして(”削除する”を空白にすると勘違いしていました。)
Search PageとStart Pageにそれぞれアドレスを入れてみましたがだめでした。

ウイルスのファイルをもう一度確認したいと思い、レジストリをもどしてもう一度オンライン
スキャンをしたんですけど今度は、こちらでも、検出されなくなってしまいました。
(レジストリって元に戻せることとは、違うのかな???)

前の書きこみにも書いたのですが
\Restrictions\というホルダがないようです。その代わり
>\Infodelivery\CompletetedModifications\となっています。
このホルダ中に、Channel Defaultというものが入っていて気になるのですが、変なもので
はないですか?

やはり、リカバリーするのがいいんですね

▲このページのトップに戻る
1231Re:見てるかな?やまふみ 4/12-23:21
記事番号1180へのコメント

>まず、Norton Anti Virusでは検出されません。(うまく機能してないのでしょうか?)

って、持ってたんですか?
私がひっぱってきた文書はノートンのだから、
ノートンで検出されないということはないと思うなぁ。
ウイルス定義ファイルが更新されていないのでは?
ウイルスチェックソフトの正しい使い方はマスターされていますか?
入っていればいいというものではないですよ。

>ウイルスのファイルをもう一度確認したいと思い、レジストリをもどしてもう一度オンライン
>スキャンをしたんですけど今度は、こちらでも、検出されなくなってしまいました。

ですが、

>ウイルスバスターオンラインスキャンで3つのウイルスが見つかりそれを削除しました。

なんですから、検出されるはずがありません。
レジストリを繰り返し書き換えていると思われる問題のプログラムはなくなったはずですから、
後はレジストリを正しい状態にできればいいはずですが。

>その後Search Barを空白にして(”削除する”を空白にすると勘違いしていました。)
>Search PageとStart Pageにそれぞれアドレスを入れてみましたがだめでした

3キーとももともとは「削除しろ」と書いてあるのですから、
削除にトライしてからリカバリでもいいでしょう。
(空白にするんじゃなくてホントに削除です。)
でも念の為、その前に大事なデータをバックアップしましょう。
この「トロイ」君はあなたのデータファイルにまでは悪さをしないみたいですから、
写真だの映像だのメールだのは感染後の今バックアップしても問題ないと思います。
それから3キーの削除にトライして、
うまくいかなかったらリカバリすれば?

ところでうまくいかないというのは、どういう状態なんでしょ。
いまだにホームが書きかえられたままってことですか?
ホームの表示が行われていないだけなら、
ツール → インターネットオプション の「ホームページ」を「標準設定」にすればいいし、
検索がおかしいなら、「検索」ボタンを押して、「カスタマイズ」で直せますが。

>>\Infodelivery\CompletetedModifications\となっています。
>このホルダ中に、Channel Defaultというものが入っていて気になるのですが、変なもので
>はないですか?

気になるってなんで?
レジストリはヘタにいじるとPCか動かなくなるほどの重要部分です。
資料などに記述がない部分は、独断でいじらないのが吉。

▲このページのトップに戻る
1270やはり書きかえられますkkkk 4/13-13:46
記事番号1231へのコメント
やまふみさんありがとうございます。もう一度ためしてみました。でもやはりかきかえられます。

再度オンラインスキャンを行い、一つウイルス、ファイルがあったので削除そして、Search Page、Start
Page、Search Bar を削除をおこないました。それでもだめでした。(よけいなレジストリは、いじりませ
んでした。)

それと、Norton Anti Virusですが、使い方ですが、熟知しているかといわれると、ちょっと?のところも
あるかもしれません、でもウイルスの定義は、更新しています、昨日もアップデートを行ってからウイルス
チェックしたのですが、なにも、ひっかからなかったです。
 



▲このページのトップに戻る
1276Re:やはり書きかえられますやまふみ 4/13-15:13
記事番号1270へのコメント

OPQ File についてもう少ししらべて見ました。
スタートアップにあった記述はこんなんでしたか?

OPQ File C:\windows\regedit.exe /s c:\windows\system\radE5F02.tmp

で、スタートアップのチェックはちゃんとはずして、
c:\windows\system\radE5F02.tmp は削除したんですか?
仮に「radE5F02.tmp」という名前でなかったとしても、
C:\windows\regedit.exe /s の右側に記述があるファイルが犯人ですから、
キチンと削除しましょう。

もしかしたら、ウイルスチェックで検出されたのは別口のもので、
これはウイルスチェックに引っかからないたぐいのものかもしれません。
OPQ File で検索をかけても、
ウイルスチェックソフトメーカーの書類が引っかからなかったので、
その可能性はあります。 

>再度オンラインスキャンを行い、一つウイルス、ファイルがあったので削除そして、Search Page、Start
>Page、Search Bar を削除をおこないました。それでもだめでした。(よけいなレジストリは、いじりませ
>んでした。)

一回クリーンにしたはずなのに、また検出されるの?
ホームが書きかえが直っていないから、
書き換えの方の本体はウイルスチェックに引っかからなくても、
それで見に行かされるページから、ウイルスチェックに引っかかるようなのをもらい直すのかな?

たぶんこれが直ったとしてもスパイウェアやアドウェア
(いずれもウイルスチェックソフトでは検出されないものです)も
かなりもらっていると思うから(これが被害を複雑にしている可能性もアリ)、
時間かけて悩んでいるよりリカバリしたほうが良さそう。

リカバリ後は WindowsUpdate の重要な更新を全部やり、
尚且つ以下のページから、OS及びソフトに必要なセキュリティパッチを全部あてること。
http://www.microsoft.com/japan/enable/products/security/

以下のページを読んでAd-Aware 導入のこと。
http://www.zdnet.co.jp/help/howto/security/p02/index.html
なお、このソフトもウイルスチェックソフトのように、
定期的に定義ファイル(ダウンロードサイトでは「Ad-aware signature file」という名称。
導入後即最新を入れるべし)を更新する必要があります。

常時接続ならファイヤーウォール導入のこと。

H系など怪しいページを見たいのなら、
インターネットオプションのセキュリティ設定のActiveX 及び JAVA は OFF のこと。

ウイルスチェックソフトのメーカーサイトで、
自分の持っているバージョンの問題点をFAQなどでチェックすること。
もしかしたら本体部が古くて、いくら定義ファイルを新しくしても、
チェックされないウイルスが出てきているかもしれません。
プレインストールのものは本体のバージョンアップができませんから、
そういう問題が起こりがちです。

以上、皆様、長文失礼いたしました。m(_ _)m

▲このページのトップに戻る
1304まいど、どうもありがとうございますkkkk 4/13-22:16
記事番号1276へのコメント
やまふみさん、ありがとうございます。

OPQ Fileというものは、チェックをはずしといていいものなのですか?(スタートアップですから、はずしていけない
物もないと思いますが)

たしかに、わたしのも、OPQ File C:\windows\regedit.exe /s c:\windows\system\rad4363B.tmpというふうにな
っています。/の右側のもの、削除しました。
 
するとウインドウズを立ち上げる時にこのファイルがないよと、いってきます。スタートアップの項目はかきかえれま
せんか?

何に付けてもリカバリーがいいということは承知しました。(↑のこと知って見えましたら、教えてください。あまり
手間をかけなくてもいいです。)

▲このページのトップに戻る
1316Re:えぇ〜っ、犯人をそもそも削除してなかったの?やまふみ 4/14-00:05
記事番号1304へのコメント

>msconfigのスタートアップでOPQ Fileというやつの、チェックをはずすと、OKで
>あることがわかりました。

ってかなり最初の段階で書いていたから、
これの始末はとっくについているもんだと思っていたけど、
「レジストリ直してもまだ書きかえられる」っていうから、
なにか変だなと思って確認取ってみたら....

>OPQ Fileというものは、チェックをはずしといていいものなのですか?

即はずす!! 
犯人ですから。他に役に立つようなことは一切していません。

>OPQ File C:\windows\regedit.exe /s c:\windows\system\rad4363B.tmp /の右側のもの、削除しました。
>するとウインドウズを立ち上げる時にこのファイルがないよと、いってきます。

スタートアップにチェックが入りっぱなしになっていたからでは?
ファイルの削除 → スタートアップのチェックをはずす → レジストリの修正
をもう一度完璧にチェックし、
それでもまだ「rad4363B.tmpがない」などと言ってくるようなら、
まだどこかに記述が残っているのでしょうね。
その場合、レジストリに「rad4363B」で検索をかけてみては。
また、System.ini や Win.ini まで書き換えているケースもありますが、
調べ方が分からない場合は再質問を。

ところで「rad4363B.tmpがない」といわれても、そのままWindowsの立ち上げを続けることはできませんか?
落ちちゃいますか?
立ちあがれば、起動で余計なエラーは見るものの、
おそらくもう書き換えは行われない状態であろうと思います。