• ベストアンサー

Adware.Aurora

Adware.Auroraが検出されたので、以下のサイト http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.aurora.html に従って駆除しようとしたのですが、手順1においてはアドウェア自体がコントロールパネルを開いても見つからず、また手順4において「c.検出されたサービスを探し出して、選択します。」とあり、どのサービスのことを言っているのかが分かりません。service.mscを実行してリストアップされたサービスはかなり量があると思うのですが、全て手順通りに処理しろと言うことなのでしょうか? ちなみにリスクファイルは C:\WINDOWS\system32\cqdvsa.exe C:\WINDOWS\Nail.exe です。よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • doki2
  • ベストアンサー率51% (440/860)
回答No.13

再起動するたびに名前が変わるんですから、ご自分で判断して作業していただくしかありません。 1.オンラインスキャンでファイル名を特定する 2.再起動せず「HijackThis」を起動する 3.「O4 - 」で始まる行の中で、そのファイル名を含む行を見つける 4.その行の左端にチェックを入れ「Fix checked」をクリック 5.再度オンラインスキャンを実行して結果を確認する ところで、masa0708さんはウィルス対策ソフトを導入していないようですが、必ず導入するようにしてください。 参考:転ばぬ先の杖 - さらなる被害を受けないために http://www.higaitaisaku.com/korobanu.html

masa0708
質問者

お礼

スキャンでも検出されなくなりました!ありがとうございました!! ただウィルス対策ソフトの件なのですが、どうやらWindows installerがおかしいらしく、最近ダウンロード版で購入したNorton Antivirus 2005のインストールが出来ません。ほかにもiTunesの更新版ダウンロードなどもエラーになってしまいます。Windows installer 3.1を一度アンインストールをし、Windowsのページから再インストールしても問題は解決しません…。 しかしこの質問の枠で別な質問に答えていただくのも何ですので、この問題はまた別枠で立てたいと思います。 Adware.Auroraの件、本当にありがとうございました。

その他の回答 (12)

  • doki2
  • ベストアンサー率51% (440/860)
回答No.12

No.11と同じ作業をセーフモードで実行てみてください。

masa0708
質問者

補足

セーフモードで実行した結果、findNail.batは 「hijackthis.logの調査」 「ファイルの調査」 となったのですが、symantecのオンラインスキャンを行うと C:\WINDOWS\system32\rzfhmno.exe は Adware.Aurora に感染しています。 といった表示が出てしまいます…。

  • doki2
  • ベストアンサー率51% (440/860)
回答No.11

>O4 - HKLM\..\Run: [nzltqv] C:\WINDOWS\system32\vrcmzs.exe r もうお気づきだと思いますが、このファイルはパソコンを再起動するたびに名前を変えて現れます。 「HijackThis」を通常モードで起動 「O4 -」で始まる行の中に行末に「 r」がつく行を見つけチェックを入れ「Fix checked」をクリックしてください。 以上で、Adware.Auroraは駆除できたと思います。 その他お気づきの点あれば書き込んでください。

masa0708
質問者

補足

>「HijackThis」を通常モードで起動   「O4 -」で始まる行の中に行末に「 r」がつく行を見つけチェックを入れ「Fix checked」をクリックしてください。 この作業を行った後ウィルススキャンをしてみると、また別の名でAdware.Auroraに感染したファイルが現れてしまいます…。 同様にHijackThisを起動し"r"のつく行にチェックを入れFix checkedを行った後、再度スキャンを実行すると、また違った名の感染ファイルが検出されてしまいます。もうこの名前を変えて現れるファイルを削除することは出来ないのでしょうか?

  • doki2
  • ベストアンサー率51% (440/860)
回答No.10

追加作業 1.セーフモードで再起動 2.「Ctrl」 + 「Shift」 + 「Esc」 でタスクマネージャを起動 3.「プロセス」タブを開き「イメージ名」欄の「Explorer.exe」 を右クリック 4.「プロセスツリーの終了」をクリック 5. タスクマネージャの「アプリケーション」タブを開く 6.画面右下の「新しいタスク」ボタンをクリック 7.名前欄に「C:\HJT\HijackThis.exe」をコピーして貼り付けて「OK」 8.「HijackThis」の画面で「Do a system scan and save a logfile」をクリック 9.「HijackThis」の画面で下記の行にチェックを入れ「Fix checked」をクリック  F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe   10.「C:\HJT\findNail.bat」をダブルクリックして実行 11.パソコンを通常モードで再起動 12.「C:\HJT\findNail.txt」の内容をレポートください。

masa0708
質問者

補足

「hijackthis.logの調査」 O4 - HKLM\..\Run: [nzltqv] C:\WINDOWS\system32\vrcmzs.exe r 「ファイルの調査」

  • doki2
  • ベストアンサー率51% (440/860)
回答No.9

☆「Nailfix.zip」のダウンロード   http://www.noidea.us/easyfile/  「Nail/Aurora Spyware Fix」をクリックして「Nailfix.zip」をダウンロードし、解凍してできる「Nailfix.cmd」と「Process.exe」を「HJT」フォルダに保存。    これらのツールで、Nail等のファイルを駆除するとともに、レジストリを修正します。   ☆「HJT」フォルダのショートカットをデスクトップに。  nailfix.cmdを実行するとエキスプローラが閉じられてしまうので「HJT」フォルダのショートカットをデスクトップに作っておくと便利です。   ☆ファイルの確認  今までの作業で「HJT」フォルダに下記のファイルが保存されていると思います。    CleanUp!のショートカット  findNail.bat  findNail.txt  HijackThis.exe  hijackthis.log  nailfix.cmd  Process.exe   ☆「Nailfix.cmd」の実行  パソコンをセーフモードで再起動して「Nailfix.cmd」を実行。  画面がちらつきエキスプローラの画面が消えますが異常ではありません。  Windowsをセーフモードで起動する http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20040302105202953 ☆結果の確認    パソコンを通常モードで再起動します。  「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック。  「findNail.bat」を実行してメモ帳に表示される内容を貼り付けてください。

masa0708
質問者

補足

「hijackthis.logの調査」 F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [uvfper] C:\WINDOWS\system32\nlkemo.exe r 「ファイルの調査」 ----------------------------------------------------------- 以上の内容が表示されました。これは問題の「Nail.exe」が削除されたと判断していいんでしょうか? また、この後作業すべき事はありますか?

  • doki2
  • ベストアンサー率51% (440/860)
回答No.8

☆一時ファイル等の掃除 「CleanUp!」 というソフトを使って、一時ファイル、キャッシュファイル、Prefetchファイル等を削除して、無駄なスキャン操作をできるだけ少なくします。 また、最近のスパイウエアのなかにはテンポラリフォルダに潜むものがあるので、それらを駆除する効果もあります。 ☆「CleanUp!」 のダウンロード/インストール http://home.comcast.net/~sgould4567/software/cleanup/download.html  ページ中ほどの「CleanUp! 4.0 Downloads」から「Available from:」の欄で 「CleanUp40.zip」をクリックしてダウンロード。  回線が混雑してダウンロードできない場合下記からダウンロードします。 http://www.norbiesworld.co.uk/Downloads/get=17.html  このページで「CleanUp40.zip」をクリック  次のページで「Security Code」の右に表示される文字を「Type code」の右に入力して  「Get download」をクリック。  「CleanUp40.zip」を解凍すると「CleanUp40.exe」というインストーラーが現れます。  クリックするとSOFTWARE LICENSE AGREEMENTの画面になります。  「I agree with the above terms and conditions」にチェックを入れ「Next」をクリック。  以下、画面の指示に従ってインストールします。  最後の画面で下記項目のチェックをはずして「OK」  View Readme File  Run Installed Application    "C:\Program Files\CleanUp!\Cleanup.exe"のショートカットを  「HJT」フォルダに保存してください。  「HJT」フォルダの「CleanUp!」をクリックしてプログラムを起動。  画面右のメニューで「Option」を選択。  「Empty Recycle Bins」のチェックをはずして「OK」。  (これはゴミ箱に移動されたファイルを呼び戻す必要があるかもしれないからです。)    「CleanUp!」の画面に戻りメニューの「CleanUp!」をクリック。  IEが開かれていると警告が出ますので、IEの画面をすべて閉じて「OK」をクリック。    グレイ表示になっているボタンが正常に戻ると削除作業終了です。    また、このソフトは全ドライブを検索しますが、通常Cドライブ以外にテンポラリファイルが作られることはほとんどありません。  画面一番下の表示が「Scanning D: drive for temporary files」になった場合、「Stop」ボタンを押して作業を終了してください。    画面下のほうでパソコンを再起動するように表示されますが、ここは任意に。

  • doki2
  • ベストアンサー率51% (440/860)
回答No.7

☆データのバックアップ  危険な作業が入りますので、下記ページ参考に重要なデータのバックアップを取ってください。  参考:何をバックアップすべきか?  http://www.higaitaisaku.com/backup.html   ☆復元ポイントの再設定  [システムの復元] を一旦「無効」にした後、[システムの復元] を「有効」にしてください。    システムの復元機能を有効/無効にする方法(XP) http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/4aefaadc9d7b2aef8825694c005b6a08/7612904afd04a8c249256b94004928bc?OpenDocument

  • doki2
  • ベストアンサー率51% (440/860)
回答No.6

症状の確認 「findNail.bat」の作成 1.「HJT」フォルダを開きクリックして「新規作成」でテキストドキュメントを選択。 2.「新規テキスト ドキュメント.txt」を「findNail.bat」という名前で保存します。   この時点では「findNail.bat」は空白の状態です。 3.下記「はじめ」~「終わり」をコピーして「findNail.bat」に貼り付け上書き保存してください。 :~~~~~~~~~~「はじめ」~~~~~~~~~~ if exist C:\HJT\findNail.txt del C:\HJT\findNail.txt echo 「hijackthis.logの調査」 > C:\HJT\findNail.txt type hijackthis.log | find /i "Nail" >> C:\HJT\findNail.txt type hijackthis.log | find /i "svcproc" >> C:\HJT\findNail.txt type hijackthis.log | find /i ".exe r" >> C:\HJT\findNail.txt echo. >> C:\HJT\findNail.txt echo 「ファイルの調査」 >> C:\HJT\findNail.txt c: cd \Windows dir /b Nail.exe >> C:\HJT\findNail.txt dir /b svcproc.exe >> C:\HJT\findNail.txt dir /b IDDJHJM.ini >> C:\HJT\findNail.txt dir /b abiuninst.htm >> C:\HJT\findNail.txt cd \Windows\System32 dir /b DrPMon.dll >> C:\HJT\findNail.txt notepad C:\HJT\findNail.txt :~~~~~~~~~~「終わり」~~~~~~~~~~ 4.「findNail.bat」をダブルクリックして実行すると結果がメモ帳で表示されます。 5.結果を補足欄に貼り付けてください。

masa0708
質問者

補足

「hijackthis.logの調査」 F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [pjmeoj] C:\WINDOWS\system32\jrdmmj.exe r 「ファイルの調査」 Nail.exe

  • doki2
  • ベストアンサー率51% (440/860)
回答No.5

>ご面倒でなければ教えていただきたいです。よろしくお願いします。 こちらこそ、よろしくお願いします。 「HijackThis」の導入  症状の診断や修復に使うものです。使い方等については下記参照ください。    ☆HijackThisによるレポート出力と手動でのスパイウェア除去  http://www.higaitaisaku.com/hijackthis.html    ただし、使い方がわからずに操作すると重大な支障が発生することがあります。  十分な知識なしに指示されたこと以外の操作をしないように注意してください。 1.Cドライブのルートに「HJT」と言うフォルダを作っておきます。(C:\HJT)  以下、このフォルダを「HJT」フォルダと呼ぶことにします。   2.下記サイトから「HijackThis」をダウンロードします。 http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1 3.ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。 4.「HijackThis.exe」を「HJT」フォルダに保存します。   以降このフォルダにログファイルやバックアップが保存されるようになります。    5.「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック 6.「HijackThis」の画面が開かれシステムをスキャンした結果が一覧表示されます。 7.その後、メモ帳が開かれスキャン結果が表示されます。 8.「HJT」フォルダを開き「hijackthis.log」が保存されているのを確認してください。

  • doki2
  • ベストアンサー率51% (440/860)
回答No.4

かなり面倒な作業になりますが、やってみますか?

masa0708
質問者

補足

何ぶんこのようなウィルス・スパイウェア等に感染したのは初めてなので出来る自信はありませんが、ご面倒でなければ教えていただきたいです。よろしくお願いします。

  • doki2
  • ベストアンサー率51% (440/860)
回答No.3

シマンテックでの方法ではおそらく修復できません。 HijackThis Entry Database はデータが古くて多分役にたたないと思います。 「SpywareGuide」にも役に立ちそうな情報はほとんどありません。 今のところ、このスパイウエアは「HijackThis」というツールをベースにいくつかのツールをダウンロードして駆除するしかありません。 かなり面倒な作業になりますが、やってみますか? それともリカバリ?「被害対策の部屋」? ところでOSのバージョンは? C:\WINDOWS\system32\cqdvsa.exe このファイルはもうなくなっていると思いますが、どうですか?

masa0708
質問者

補足

このスパイウェアはそんなに厄介なものだったのですか…。 OSはwindowsXPです。 C:\WINDOWS\system32\cqdvsa.exe このファイルはなくなっていましたが、ウイルススキャンをする度にSystem32内の別のexeファイルが感染しているという警告が出ます。また何度スキャンしても C:\WINDOWS\Nail.exe は感染しているという警告が出ます。explorerで消去してもスキャンの度にまた出てきてしまいます。

関連するQ&A