- 締切済み
TROJ系のウイルス駆除法に付いて、教えて下さい。
WinXP-SP2です。下記は、Norton、Spybotで検出されませんでした。 TREND Microのウイルスバスター On-Line Scan(@nifty HPでのチェックサービス …但しnifty会員のみ)で、TROJ系のウイルスが検出され、 2ケが駆除され、下記の12ケが駆除不可能とされました。 このScanソフトで即削除出来るのですが、TREND Microのデーターベースで素性を調べ、 2)3)5)9)11)は単体で動作なので削除してしまい、再Scanで無くなりました。 残る1)4)6)7)8)10)12)を駆除するいいソフトは無いでしょうか?? ご助言をよろしくお願い致します。 ★1)TROJ_BUDDYLINK.A …単体で動作なので削除可だが、システムの修復が必要。難!! ○2)TROJ_ISTBAR.DW →単体で動作なので削除した。 ○3)TROJ_ISTBAR.DW →2)と同じ。 ★4)TROJ_AGENT.EX →データベースに無し。方法?? ○5)TROJ_ISTBAR.EH →単体で動作なので削除した。 ★6)TROJ_BUDDYLINK.A …1)と同じ。 ★7)TROJ_KREPPER.J →データベースに無し。方法?? ★8)TROJ_DELE.AR …単体で動作なので削除可だが、システムの修復が必要。難!! ○9)TROJ_ISTBAR.DW →2)と同じ。 ★10)TROJ_ISTBAR.W …単体で動作なので削除可だが、システムの修復が必要。難!! ○11)TROJ_ISTBAR.DW →2)と同じ。 ★12)TROJ_KREPPER.J …7)と同じ。 尚、同じ名前の物がありますが、場所が違うのです。各々の場所とファイル名も分かっています。
- ウィルス・マルウェア
- 回答数8
- ありがとう数9
- みんなの回答 (8)
- 専門家の回答
みんなの回答
- zoro2
- ベストアンサー率50% (105/208)
ANo.6 補足について 1.下記事例参考にしてください。 http://security.okweb.jp/kotaeru.php3?q=1001368 といっても、保存場所が違うので、参考にならないかも? 多分、ウィルス対策ソフトによって本体は駆除された後だと思います。 2.該当ファイルの削除 「スタート」「ファイル名を指定して実行」で下記コマンドをコピーして貼り付けて「OK」 regsvr32 /u rundlg32.dll エキスプローラで「rundlg32.dll」を削除
- zoro2
- ベストアンサー率50% (105/208)
>★ 7)TROJ_KREPPER.J →データベースに無し。方法?? >★12)TROJ_KREPPER.J …7)と同じ。 以下、Sophos情報に基づいて対策を考えました。 もし、症状が違う場合、別途対策が必要です。。 http://www.sophos.com/virusinfo/analyses/trojkrepperj.html ☆「HijackThis」で「INI」ファイルを修復 下記のような行があればチェックして「Fix checked」 F0 - system.ini: Shell=Explorer.exe ~ F1 - win.ini: run=~ F2 - REG:system.ini: Shell=Explorer.exe ~ F3 - REG:win.ini: run=~ 「F3」に表示されるのは実は下記レジストリキーでの設定です。 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ run="<windos system folder>\services\<Trojan filename>" ☆「HijackThis」で「Run」設定を削除 下記のような行があればチェックして「Fix checked」 O4 - HKCU\..\Run: [xpsystem] O4 - HKLM\..\Run: [xpsystem] ☆「HijackThis」で「BHO」設定を削除 下記のような行があればチェックして「Fix checked」 O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetdim\1.02.03.dll ☆「メモ帳」で「INI」設定を削除 Win.iniに下記設定があれば、その行を削除 load=<windos system folder>\services\<Trojan filename> Sys.iniに下記設定があれば、その行を削除 load=<windos system folder>\services\<Trojan filename> ☆「エキスプローラ」で下記ファイルがあれば削除 C:\WINDOWS\inetdim\1.02.03.dll
- zoro2
- ベストアンサー率50% (105/208)
>★4)TROJ_AGENT.EX →データベースに無し。方法?? 情報がありません。 検出されたファイル名が手がかりになるかもしれません。 補足してください。 他社のオンラインスキャンで情報を取れるかもしれません。 ★オンラインスキャン(On Line Scan) シマンテック・オンラインスキャン http://security1.norton.com/ssc/vc_about.asp?langid=jp&venid=sym&plfid=20&pkj=PZMCWOBWYSHSFVIGMKI トレンドマイクロ・オンラインスキャン http://www.trendmicro.co.jp/hcall/index.asp マカフィー・フリースキャン http://jp.mcafee.com/root/mfs/default.asp?cid=9992
補足
ありがとうございます。 ★4)TROJ_AGENT.EXの補足(場所とファイル名)をします。 C:\Documents and Setting\Owner\Local Settings\Temp\IOD3.tmp\rundlg32.dll ★オンラインスキャン(On Line Scan)ですが、 ・シマンテック・オンラインスキャン→検出せず。 ・トレンドマイクロ・オンラインスキャン→質問の@nifty HPでのチェックサービスと同じで、1)4)6)7)8)10)12)を検出しました。2)3)5)9)11)は削除したので出ず。…但し@niftyのサービスでは削除が可能。 ・マカフィー・フリースキャン→登録画面に移るのでチェックせず。登録すればフリーで出来そうなんですが、見合わせました。
- zoro2
- ベストアンサー率50% (105/208)
>★4)TROJ_AGENT.EX →データベースに無し。方法?? 情報がありません。 検出されたファイル名が手がかりになるかもしれません。 補足してください。
補足
ありがとうございます。 ★4)TROJ_AGENT.EXの補足(場所とファイル名)をANo.6に記載しした。補足になるでしようか??
- zoro2
- ベストアンサー率50% (105/208)
>★1)TROJ_BUDDYLINK.A …単体で動作なので削除可だが、システムの修復が必要。難!! 「Ad-aware SE」 が対応しているのですが、データが古いので未対応の可能性もあります。 その場合は「HijackThis」を使います。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BUDDYLINK.A&VSect=T ランダムなファイル名でコピーされ、検出されるので、タスク名、ファイル名は私には解りません。 「HijackThis」のスキャンログで下記の行をチェックして「Fix checked」 O4 - HKLM\..\Run: で始まる行であって、検出されたタスク名、ファイル名を含む行 O4 - HKCU\..\Run:で始まる行であって、検出されたタスク名、ファイル名を含む行
補足
ありがとうございます。 「HijackThis」の所は難しくて、手が出ません。済みません。 「Ad-aware SE」で、1)TROJ_BUDDYLINK.Aが駆除出来ました。単なるexeファイルの削除だけかも知れませんが。
- zoro2
- ベストアンサー率50% (105/208)
「ISTBAR」 >○ 2)TROJ_ISTBAR.DW →単体で動作なので削除した。 >○ 3)TROJ_ISTBAR.DW →2)と同じ。 >○ 5)TROJ_ISTBAR.EH →単体で動作なので削除した。 >○ 9)TROJ_ISTBAR.DW →2)と同じ。 >★10)TROJ_ISTBAR.W …単体で動作なので削除可だが、システムの修復が必要。難!! >○11)TROJ_ISTBAR.DW →2)と同じ。 ISTBARというのは以前からある代表的なスパイウエア(アドウエア)です。 >★10)TROJ_ISTBAR.W …単体で動作なので削除可だが、システムの修復が必要。難!! しかし、スパイウエアと断定されるのを避けるため、[アプリケーションの追加と削除]にアンインストーラーを登録する例が増えています。 アンインストーラーが登録されたものはスパイウエアから除外されスパイ対策ソフトも対応しないのが通例です。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_ISTBAR.W 以下のものは[アプリケーションの追加と削除]で削除して置いてください。 180Solutions Bargains CLRSCH CommonName Internet Optimizer ISTbar ISTsvc Keywords Lycos SideSearch Power Scan StatBlaster WhenUSave 「Ad-aware SE」 「ISTBAR」関連では、いくつもの亜種・新種があるようですが、定義ファイルも次々に更新されています。 パソコンをセーフモードで起動して「Ad-aware SE」でスキャンしてみてください。 また、「Spybot-S&D」を併用して駆除できることもあります。 >単体で動作なので削除した。 関連するレジストリ設定を削除しないと起動エラーのダイアログが表示されることがあります。目障りな場合「HijackThis」等で「Fix」してください。 「Ad-aware SE」 http://www.download.com/3000-8022-10045910.html 「Spybot-S&D」 http://www.download.com/3000-8022-10122137.html 「HijackThis」 http://download.com.com/3000-8022-10227353.html
補足
ありがとうございます。 1)4)6)7)8)10)12)は、TREND Microのウイルスバスター On-Line Scanで削除は出来るのですが、その前にシステムの修復が必要と書いてあり、その内容は、初心者の私には難しいです!! で、[Spybot-S&D]では駆除出来なかったので、新たに[Ad-Aware SE]をDLして掛けた所、4)を除き、駆除されました。…今回以外のも一杯採れました!! 単なる削除だけの物もあるかも知れませんが、色々なファイルも採れたので、先ずは良しとしたいと思います。 残るは4)だけですが、今皆さんのアドバイスを見ながら、思案中です。 尚、「HijackThis」に付いて、興味があるのですが、そもそも何をするソフトなのでしょうか?? 上記のURLは直ぐDLに行ってしまうのでしょうか??ちと心配です。 下記は「Ad-aware SE」ですが、この様な、初心者向けの物は無いのでしょうか?? http://enchanting.cside.com/security/adaware.html よろしくお願いします。
No1の方の方法を試すとともに、そのウィルスについての情報を収集してください。 というのは、おそらくレジストリの改変をしている可能性が大きいです。 ですから、ウィルスファイルを削除しても再び入ってくる可能性は大です。 あと、トレンドマイクロのウィルスデータベースになくても、他の会社のデータベースや類似した名前で検索すると、だいたいの駆除方法がわかると思います。 是非検索エンジンを使って、他の会社のウィルスデータベースも調べてみてください。
- jizou777
- ベストアンサー率14% (15/107)
システム深くまで入られているんでしょうかねぇ? オーソドックスな方法ですが、セーフモードで立ち上げて「すべてのドライブでシステムの復元を無効にする」にチェックを入れてウィルス駆除を行ってみてください。必ずバックアップをとることをお勧めしますボリュームエラー>ディスクのチェックも駆除後に行ってみてください。あまりにも症状がひどいようでしたら初期化の覚悟も必要です。がんばってください。
補足
ありがとうございます。 しかし、上記は、初心者には難しい内容で、とても手が出ません。済みませんです。 で、[Ad-Aware SE]で、4)以外は駆除出来たので、様子を見たいと思います。…状況は下記で報告。