サイトマップ

マルウェア関連のトピックス

http://www.cctv8.net/index.htmlに飛ばされる

最近これに苦しむ人が多いのでページを作ることにしました。レジストリエディタを無効化したり、除去後もIEのタイトルの横に、「--散哭恵諒 WWW.CCTV8.NET--」と出て治らなかったり、なかなか嫌らしいスパイウェアです。また、2004.3.6現在Spybot S&DもAd-Awareも対応してない様です。

症状

IEを立ち上げたときのホームページが中国語のサイト「http://www.cctv8.net/index.html」になってしまって変更できなくなります。コントロールパネルもIEから開けませんし、レジストリエディタも使えない状態にされてます。

image

HijackThisなどを使って、後に述べる対処法で削除したとしても、その後すべてのページのタイトル(IEの一番上に表示される奴)の最初に「--散哭恵諒 WWW.CCTV8.NET--」が張り付いて取れなくなります。

HijackThisを使ったスパイウェアの削除

HijackThisとそのログの取り方についてはこちらをどうぞ。

HijackThisのログには、こんなエントリが現れます

O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE http://www.cctv8.net/index.html
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

HijackThis以外のウィンドウをすべて閉じ、これらエントリにチェックを入れてFIx後、PCを再起動すればとりあえず一通り症状は収まるはずです。ですが、IEのタイトルに不快な「ヘッダー」が付く症状は残るはずです。一回でうまく行かない場合は、まずO7のみをFixし、もう一度ログを取り直して改めてO4とO7をFixしてから再起動してください。

改変されたIE関連レジストリの修復

後で改変されたレジストリの例を貼りますが、とりあえずこの「不快なヘッダー」を除くだけなら下記の修正ファイルで治ります。

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"default_page_url"=-
"Window Title"=-

上の「REGEDIT4」から下の「Window Title」の行のすべてをコピーしてメモ帳などのエディタに貼り付け、デスクトップに「catv8.reg」という名前で保存。それをダブルクリックして出る警告に「はい」、終了後の確認メッセージに「OK」をクリックすれば良いです。

ただ、感染された状態でのRegCheckSearchのログを見ると、かなり広範囲で改変がなされています。特に差し支えが無ければ、「Internet Explorer関連レジストリの完全なリセット」をお薦めします。これは、上の修正を含めてIEのレジストリを必要最小限のものにしようという試みです。従って、こちらを実行する場合は上の「catv8.regの操作は不要です。

手順に従って実行すれば、再起動後にきれいな体になっているはずです。もっとも、他のスパイウェアに複合感染してなければですが。

感染して改変された後のRegCheckSearchのログの例

掲示板で質問頂いた方に取ってもらったRegCheckSearchのログです。ご参考まで。

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Enable_Disk_Cache"="yes"
"Cache_Percent_of_Disk"=hex:0a,00,00,00
"Delete_Temp_Files_On_Exit"="yes"
"Local Page"="C:\\WINDOWS\\SYSTEM\\blank.htm"
"Anchor_Visitation_Horizon"=hex:01,00,00,00
"Use_Async_DNS"="yes"
"Placeholder_Width"=hex:1a,00,00,00
"Placeholder_Height"=hex:1a,00,00,00
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"CompanyName"="Microsoft Corporation"
"Custom_Key"="MICROSO"
"Wizard_Version"="6.00.2600.0000"
"FullScreen"="no"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\ErrorThresholds]
"400"=dword:00000200
"403"=dword:00000100
"404"=dword:00000200
"405"=dword:00000100
"406"=dword:00000200
"408"=dword:00000200
"409"=dword:00000200
"410"=dword:00000100
"500"=dword:00000200
"501"=dword:00000200
"505"=dword:00000200

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\UrlTemplate]
"1"="www.%s.com"
"2"="www.%s.org"
"3"="www.%s.net"
"4"="www.%s.edu"

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Anchor Underline"="yes"
"Cache_Update_Frequency"="Once_Per_Session"
"Display Inline Images"="yes"
"Do404Search"=hex:01,00,00,00
"Local Page"="C:\\WINDOWS\\SYSTEM\\blank.htm"
"Save_Session_History_On_Exit"="no"
"Show_FullURL"="no"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes"
"Show_URLToolBar"="yes"
"Start Page"="http://yahoo.co.jp/"
"Use_DlgBox_Colors"="yes"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"FullScreen"="no"
"LastCheckedHi"=dword:01c3e9ab
"Window_Placement"=hex:2c,00,00,00,02,00,00,00,03,00,00,00,b8,0b,00,00,b8,0b,\
00,00,ff,ff,ff,ff,ff,ff,ff,ff,08,01,00,00,2c,00,00,00,1b,03,00,00,17,02,00,\
00
"NotifyDownloadComplete"="yes"
"AddToFavoritesExpanded"=dword:00000001
"Use FormSuggest"="yes"
"Error Dlg Displayed On Every Error"="no"
"Error Dlg Details Pane Open"="no"
"Save Directory"="C:\\My Documents\\Lookatme\\get\\"
"Show_ChannelBand"="no"
"check_associations"=""
"Disable Script Debugger"="yes"
"Enable_MyPics_Hoverbar"="no"
"Friendly http errors"="yes"
"NoUpdateCheck"=dword:00000000
"ShowGoButton"="yes"
"NoJITSetup"=dword:00000000
"NoWebJITSetup"=dword:00000000
"Enable Browser Extensions"="yes"
"AllowWindowReuse"=dword:00000001
"SmoothScroll"=dword:00000001
"Force Offscreen Composition"=dword:00000000
"Page_Transitions"=dword:00000001
"FavIntelliMenus"="no"
"NscSingleExpand"=dword:00000001
"Play_Animations"="yes"
"Play_Background_Sounds"="yes"
"Display Inline Videos"="yes"
"Enable AutoImageResize"="no"
"Show image placeholders"=dword:00000000
"Move System Caret"="no"
"Expand Alt Text"="no"
"Print_Background"="no"
"HistoryViewType"=hex:00,00
"Use Search Asst"="no"
"Search Bar"=""
"default_page_url"="http://www.cctv8.net/index.html"
"Window Title"="--散哭恵諒 WWW.CCTV8.NET--"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchProperties]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchProperties\ja]
"PanelOrder"=hex:57,00,65,00,62,00,01,00,50,00,72,00,65,00,76,00
"Panel@Web"=hex:64,00,65,00,66,00,61,00,75,00,6c,00,74,00,03,00,6d,00,73,00,6e,\
00
"SettingsVersion"=hex:44,00

更新履歴

2005.9.28 見栄えを改訂
2004.3.6 ページ作成

【文頭に戻る】