使用OS:WXP-Pro Sp2 @07Aug17
主用Browser : Mozilla Firefox
副 Browser: MS IE7 Beta version
主用OS Filer: KF二画面ファイラ-
副 : MS Explorer.exe
Internet SecurityWare : Kaspersky v6.0 -> v7.0 Upgraded
Spyware Guard : SpyBot - Search & Destroy Free DonationWare/季節毎寄付
Desktop Mechanic Registered version /*WinRegistry Maintainer
主用Text Editor : QX 日本語(SJC)・English Text Editor
OS Notepad plain Text Editor: for UNICODE editing
SJC <--> UNI8 Code変換
新規導入Editor: IDE社製 英語専用編集環境
Ultra Edit Studio Suite English Edition
UEStudio '06 Registered PackageWare
UECompare Professional
UESentry
IDE Tool Box & Ultra Edit Tool Box - Freeware
現在上記環境の全てをコンパネから削除し再起動実行しました。
HTML Editor : IBM 日本語HomePageBuilder 11.0 Premium Pack
MSDN 2002 Universal Subscription
2004 Operating Level Subscription
主用PC言語プロセッサ:Intel CPU Assembler/Disassembler Debugger
MS Visual Studio 6.0 ・DotNET Version 2002
Office System : Microsoft Office 2000 Premium ・Office XP
Mail Client Software : Outlook2000・Outlook XP
I hate these Products .
実行した新規プログラム実装作業
1- Ultra Edit Studio '06 for Windows
2- IDM Toolbox - Freeeware
3- Ultra Edit Toolbox- Freeware
この実装で起こった不思議な現象。
あたかも凶悪なトロイの木馬のような動作をし、
IE7 の設定を変更したのか、従来のFavoritesが全部消失して、専用の初期状態の
独自のFavoritesに強制的に差し替えられた。
Windows Startupに常駐しているのか、Windowsを再起動しても現象は同じ。
Default で表示されるHome Pageは一番嫌いなYahooの検索エンジンで、
僕の愛用する英語Google Search Engine 並びに サブ用日本語Google検索エンジン
の起動が不能になった。
Firefoxの新版2.0.0.8のDL&SU直後
これを起動しようとしたところ、
aboutblank と称するサイトへHidden Message Sending動作が介在
これを許可したところ、Firefoxが起動せず、Error Lander 表示となる。
この時の urlは
http://urlseek.vmn.net/search.php?lg=en ... gle.co.jp/
明らかに UltraEdit Tool Barが、Browser起動過程に介在して妨害・行き先の変更を
している気配あり。
頻繁に起こるおかしな現象:
KIS7(KasperskyInternetSecurity v7) Firewall Alert:
●mqsvc.exe remote@ 24.64.177.167 TCP RX&TX Deny
whois: Shaw Communications Inc.
remote port 12128
local port 1028
●Message Queuing Service
RX/TX UDP or TCP Packet
Remote Address : 24.64.23.162
whois : Show Communications Inc.
Ref 参考英語情報
EWS(English Wikipedia Serach)-Shaw Communications
http://en.wikipedia.org/wiki/Shaw_Communications
同時に、中国・北京サイトからのwormが前後して到来
****************************************************
HiJack This 報告
Logfile of HijackThis v1.99.1
Scan saved at 17:30:10, on 2007/10/30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Microsoft Visual Studio .NET\Common7\Tools\Analyzer\varpc.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\TCAUDIAG.exe
C:\Program Files\Desktop Mechanic\deskmech.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\JustSystem\JustOnlineUpdate\JustOnlineUpdate.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Program Files\BOINC\boinc.exe
C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_5.27_windows_intelx86.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\KF\KF.EXE
C:\QX\QXW32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_5.27_windows_intelx86.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DL&ST\MerijnBerekom\1-■HiJackThis\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &FriendFinder.com ToolBar - {F0B0C6C9-86A4-48F0-813C-1D54141A1B07} - C:\PROGRA~1\FFTB\FFTB.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [DesktopMechanic] C:\Program Files\Desktop Mechanic\deskmech.exe /QS
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [JustOnlineUpdate] "C:\Program Files\Common Files\JustSystem\JustOnlineUpdate\JustOnlineUpdate.exe" /startup
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: アンチバナーへ追加 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute Lite Edition\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute Lite Edition\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ウェブアンチウイルスの状態 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: LiveSearch - {2D5DC392-42C4-4188-8D86-192B005B3058} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7282393639
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 7282719436
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
以上が、Mozilla Firefoxを起動させようとしない何らかのマルウェアが存在する
極めて異常な現象についての
今の症状を判定して頂く為の、可能な限りの情報を記載しました。
この現象は、僕固有の特殊なケ-スなのか
あるいは
Mozilla Firefox の新版 2.0.0.8 のバグなのか、極めて深刻です。
Firefox 起動不能
モデレータ: Forum Moderators
-
pal
RE: Firefox 起動不能
途中で、
「明らかに UltraEdit Tool Barが、Browser起動過程に介在して妨害・行き先の変更を
している気配あり。 」
と書かれていますが、このツールバーを削除(無効化)した場合、どうなるかを確認されましたか?
> Windows Startupに常駐しているのか、
msconfigなどで確認できますが、しましたか?
まだしていなければ、可能な限り、ウィルスチェック、マルウェアをしてみてください。
「明らかに UltraEdit Tool Barが、Browser起動過程に介在して妨害・行き先の変更を
している気配あり。 」
と書かれていますが、このツールバーを削除(無効化)した場合、どうなるかを確認されましたか?
> Windows Startupに常駐しているのか、
msconfigなどで確認できますが、しましたか?
まだしていなければ、可能な限り、ウィルスチェック、マルウェアをしてみてください。
貴重なご報告をこんなに早く頂けるとは、感謝感激です。
IDM Toolbarがこの問題の主(ぬし)だと思います。
そこでこれを手始めに全てコンパネから削除しましたが、
WinRegistry中をIDMや Ultra EditのKWDで検索しますと、殆ど全面に無数の残滓が
残ったままです。評判では世界中で百万人単位の愛用者がいると言われる英文のプロ用
プログラミング・Editorで、GNUのEmacsが重厚・巨大過ぎるので、これを試したのでした。
全て削除後も居座り、WinReg中から実行しているように思われます。
貴方の言われる作業をやってみます。
どうも有り難う御座いました。
Seeja! From KJT
そこでこれを手始めに全てコンパネから削除しましたが、
WinRegistry中をIDMや Ultra EditのKWDで検索しますと、殆ど全面に無数の残滓が
残ったままです。評判では世界中で百万人単位の愛用者がいると言われる英文のプロ用
プログラミング・Editorで、GNUのEmacsが重厚・巨大過ぎるので、これを試したのでした。
全て削除後も居座り、WinReg中から実行しているように思われます。
貴方の言われる作業をやってみます。
どうも有り難う御座いました。
Seeja! From KJT
Seeja!
From KJT
世に偶然の出会いは無い
合縁奇縁
心には太陽を、唇には歌を
あしたに道を聞かば、夕べに死すとも可なり
From KJT
世に偶然の出会いは無い
合縁奇縁
心には太陽を、唇には歌を
あしたに道を聞かば、夕べに死すとも可なり