001　インストール

▼end

www.portalsearching.com/toolbar.php（閉鎖されたようです）

How do I install the Portal Searching toolbar? 1. To install the Portal Searching.com Toolbar please click on the following link http://www.portalsearching.com/download.php and when prompted click 'Yes'.

ここで、リンクをクリックすると、IEにツールバーが追加され、同時にスタートページがハイジャックされてしまいます。

☆ツールバー

☆ハイジャック

スタートページが、次のページに変更されてしまいます。

☆デスクトップアイコン

二つのアイコンがデスクトップに作成されます。危険ですのでクリックしないようにしましょう。

• Free Cell Phone.url
• Portal Searching.url

削除しても復活します。

☆ポップアップ

インストール直後は何も表示されませんがしばらくたつと、アダルトサイトの広告が間歇的に表示されるようになります。

　

002　スパイチェック

▼end

☆「HijackThis」

O2 - BHO: (no name) - {D6862A22-1DD6-11D3-BB7C-444553540000} - C:\WINDOWS\Downloaded Program Files\BHO.dll O16 - DPF: {4CF5275B-CDBC-11D3-A8AF-0090279A5978} (BHO.clsDockWindow) - http://www.portalsearching.com/BHO.CAB

BHO.DLLは「GoHip」、「IGetNet」、「Whazit」というスパイウエアで検出されます。

http://www.spywareguide.com/product_show.php?id=544

Full Name:	GoHip Websearch
Type:	Browser Hijacker
Official Description:	This is a combination between a search portal and a "free movie player".
Comment:	Creates pop-up ads Changes browser home page without lettting you change it back Adds an advertisment in your Outlook signature, which is appended to each mail you send
Manual removal:	You can get a remover tool from: 現在接続できません。
Information URL:	ttp://www.gohip.com/現在接続できません。
Properties:	Stays resident in background Stealth: hides itself from user

http://www.spywareremove.com/

このサイトで、「remove.exe」をダウンロードしてスパイウエアを削除できることになっています。しかし、私が試した結果ではエラーが出て削除できません。

☆「Ad-aware 6」

5件のレジストリ、1件のフォルダ、約100件のファイルが検出されます。

参照：adaware.HTM

検出されたファイルを削除します。

ただし、なぜか、BHOファイルは検出されません。

☆C:\WINDOWS\Downloaded Program Files

後でわかったことですが、「Downloaded Program Files」フォルダに下記のファイルが保存されていました、

• BHO.DLL
• BHO.INF

このフォルダにあるファイルを参照するにはDOS画面でアクセスする必要があります。

エキスプローラの検索機能も働かないようです。

DOSプロンプトでこのフォルダを開いて「Del BHO.*」というコマンドで削除できます。

• 参照：DPF
• 参照：MS-DOS