- ベストアンサー
Trojan Vundo の削除方法について教えてください
Trojan Vundoというウィルスに感染したという警告が何度も出てきました。 Norton AntiVirus 2005というウィルス対策ソフトを使用しています。しかし、スキャンをして検出されても削除することができません。また、シマンテックのサイトより駆除ツールをインストールしてスキャンしてみましたが、発見されないとのメッセージが出てきます。 スキャンをするときは、セーフモードにしてシステムの復元を無効にしていますが、やはり削除出来ませんでした。 OS:WindowsXP 感染されているファイル名:pmnon.dll ウィルス名:Trojan Vundo 削除しようと一日かけて対応しているのですが、どのように処理すれば良いのか分かりません。対策方法をご存知の方、どうか教えてください。
- yks
- お礼率26% (4/15)
- ウィルス・マルウェア
- 回答数15
- ありがとう数6
- みんなの回答 (15)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (14)
- doki2
- ベストアンサー率51% (440/860)
No.10 補足の件 >バッチ作成は初めてで、~ 説明不足ですみませんでした。 わからない部分があればご遠慮なくお問い合わせください。 >「pmnon.dll」を探してみた結果は下記の通りです。 >Base Size Version Path >0x10000000 0x87000 C:\WINDOWS\system32\pmnon.dll このリストではたとえば次のように表示されます。 winlogon.exe pid: 680 Command line: winlogon.exe Base Size Version Path 0x01000000 0x7d000 \??\C:\WINDOWS\system32\winlogon.exe 0x7c940000 0x9d000 5.01.2600.2180 C:\WINDOWS\system32\ntdll.dll 0x7c800000 0x131000 5.01.2600.2180 C:\WINDOWS\system32\kernel32.dll 0x77d80000 0xa9000 5.01.2600.2180 C:\WINDOWS\system32\ADVAPI32.dll 最初の部分の「winlogon.exe pid: 680」は起動されているプロセスとそのIDです。 その下にリストアップされているのが、例えば、「winlogon.exe」から呼び出されて実行されているプログラムです。 ☆Process ID 「pid: 680」はProcess ID というものです。 タスクマネージャの「プロセス」を開き、「イメージ名」をダブルクリックするとアルファベットオプション順にソート表示されます。 「winlogon.exe」の右の「PID」欄に「680」と書かれているのを確かめてください。 「svchost.exe」の欄を見ると複数起動されていて、それぞれ「PID」が異なることも確かめてください。 今回の検索では下記の物が見つかっています。 0x10000000 0x87000 C:\WINDOWS\system32\pmnon.dll しかし、これだけをとりあげても意味がありません。 上のほうを参照してこの「DLL」ファイルがどのプロセスから、どの「PID」で起動されるかを見つける必要があります。 見つかったプロセスをProcess ExplorerでSuspendしてコマンドプロンプトでpmnon.dllの削除を試してください。 コマンドプロンプト画面で下記入力(コピペ) del C:\WINDOWS\system32\pmnon.dll もし削除に失敗するのであれば「Suspend」では「pmnon.dll」を停止できないのではないかと思います。 だからといって「winlogon.exe」を「Kill」してしまうと再起動されてしまってファイルを削除できません。 hamahamachanさんご紹介の「KillVundo.bat」のなかでも実は「Process Explorer」が使われていて「explorer.exe」「rundll32.exe」「winlogon.exe」を「Kill」してファイルの削除を可能にしています。 この場合、まだバッチファイルが終了しないので再起動されずに作業が継続されるようですが、バッチファイルが終了すると再起動がかかるのだろうと思います。 もし、No.14の方法でうまくいかない場合、「KillVundo.bat」を試してみましょう。
お礼
ANo.14にてコメントの通り、駆除することが出来ました。ありがとうございます。
- hamahamachan
- ベストアンサー率50% (318/624)
#9です。今度もお役に立たなかったようで、申し訳ないです。。。 検索サイトでいろいろ見てると、外国の人もこのウイルスと戦っている(消せない~とうなっている)のがよく分かります。 やっていただいた手順は、私が思っていたとおりの手順です。効果が無くて申し訳ないです。1つウイルスが削除された、ということですが、それは今回のウイルスではなかったのでしょうか。別のウイルスでしたか?残っているウイルスは、Vundoですか? 自分が感染してないので検証できないのですが、あるサイトではSpySweeperというシェアウェアで駆除できたとか、artribune.orgというところにある駆除プログラムで駆除できたとか、いろいろ書いてありました。 ちなみに、 http://www.computing.net/security/wwwboard/forum/16663.html がそのサイトなのですが、ResponseNo.48の方法で駆除できた人が沢山いるようでした。実行するしないは、質問者の方の判断で。 私だったら、そろそろあきらめて初期化してすっきりさせてしまうかも。
お礼
何度もアドバイス頂きましてありがとうございました。英語のサイトの方法で駆除をしようかと思っていましたが、Symantecの駆除ツールを使うことが出来ました。
- doki2
- ベストアンサー率51% (440/860)
hamahamachanさんからの重要な情報! ただし、VirusScan On-Demand Scanner については何のことかわかりません。 Process Explorerをダウンロード http://www.sysinternals.com/Utilities/ProcessExplorer.html ページ一番下のほうの下記をクリック(WindowsNT/2K/XP/Server 2003) Download Process Explorer (x86 - 566 KB) - you plan on using Process Explorer on 32-bit NT/2K/XP/Server 2003 Process Explorerを起動 下記の項目を選択して右クリックし「Suspend」を選択 Explorer.exe Winlogon.exe rundll32.exe(もし、起動されていれば) コマンドプロンプト画面で下記入力(コピペ) del C:\WINDOWS\system32\pmnon.dll 電源ボタンの長押しで強制終了してパソコンを再起動。
お礼
返信が遅くなりましたが、解決することができました。色々なアドバイスをありがとうございました。
- doki2
- ベストアンサー率51% (440/860)
予定変更です。 pmnon.dllがどのプログラムから起動されているかを調べてみます。 ListDLLs v2.25をダウンロードしてください。 http://www.sysinternals.com/Utilities/ListDlls.html LISTDLLS.exeが保存されているフォルダ内に下記バッチファイルを作成して実行します。(少し時間がかかります。) :LisDLLs.Bat listdlls.exe >listdlls.txt notepad listdlls.txt 実行後、メモ帳が起動されlistdlls.txtの内容が表示されます。 メモ帳上で検索画面を呼び出し(「Ctrl+F」)「pmnon.dll」を検索します。 検索されたグループの上のほうに実行ファイルが表示されると思います。 タスクマネージャでそのプロセスを終了させてファイルを削除できないか試してください。 削除を難しくさせるため、複数のプロセスで呼び出される可能性もあるので注意してください。
補足
doki2さん、色々とありがとうございます。 上記の方法を試してみたのですが、やはりダメなようです。バッチ作成は初めてで、ネットで調べて作成をして「pmnon.dll」を探してみた結果は下記の通りです。 Base Size Version Path 0x10000000 0x87000 C:\WINDOWS\system32\pmnon.dll この一つのファイルしか見つかりませんでした。このファイルは最初から削除が出来ないようになっております。 バッチ作成については、LISTDLLS.exeをマイドキュメントのフォルダに保存して、そこにバッチファイルを作成して右クリックで編集を開き、listdlls.exe >listdlls.txt notepad listdlls.txt を貼り付けてから保存し、出来たメモ帳を開きました。そこで見つかったのが上記の結果です。もし手順など間違っているようでしたらご指摘ください。再度挑戦してみます。それにしても、こんなウィルスを作ったのは誰なんでしょうか・・・
- hamahamachan
- ベストアンサー率50% (318/624)
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=127690 に、マカフィーというウイルス対策ソフトの会社の、このウイルスの情報がありますが、そこに面白いことが書いてありました。 ウイルス対策ソフトを(このサイトではマカフィー)起動させておいてから、Explorer.exe、Winlogon.exe、rundll32.exe を終了させて、それから開いておいたウイルス対策ソフトでスキャンをかけて、処理させる、というように読み取れました。 ただし、Winlogonを終了させているので、通常の方法ではパソコンの終了はできないので、スイッチでぶちっと切って、またスイッチを入れて再起動させるそうです。 ただし、上記の3ファイルは、タスクマネージャでは終了できないみたいで、マカフィーのサイトには、ProcessExplorerというソフトを入れよ、と書いてありました。 というわけで、ソフトのダウンロードというのと、物理的なスイッチオフが多少不安にさせるのですが、一応お知らせまで。
補足
上記のマカフィーの対策情報に従って試してみましたが、結果は失敗に終わりました。手順は下記の通りにしましたが、どこか違うのでしょうか? 1.Process Explorerをインストール 2.再起動(システム復元は無効にしました) 3.ウィルス対策ソフトを起動(スキャンはまだ開始しない) 4.Process Explorerを起動して、Explorer.exeとWinlogon.exeをSuspendにする。(rundll32.exeは起動していませんでした) 5.スキャン開始(マイコンピュータ全体のスキャン) →一つのウィルスが検出されましたが、削除の処理をした後でもまだ一つのウィルスが残っていると表示されてしまいます。 6.スイッチによる強制終了で再起動 →起動した後、今までと同様にウィルスに感染されているというメッセージが出てしまいます。 どこのファイルの中で使用されているのかを判明させないといけないのでしょうか。またこの処理ですが、セーフモードで処理をした方が良かったのでしょうか?アドバイスよろしくお願い致します。
- doki2
- ベストアンサー率51% (440/860)
>LoadLibrary(" pmnon.dll")に失敗しました 関数を呼び出さないオプションではどうでしょうか? 1.「スタート」「ファイル名を指定して実行」で下記入力して「OK」 Regsvr32 /u /n /i pmnon.dll 2.エキスプローラで「C:\WINDOWS\system32\pmnon.dll」を削除。 しかし、強敵ですね。私にも勉強になります。 yksさん、かなりのレベルの方のようでやりがいもあります。 力をあわせてがんばってみましょう よろしければ、この後、「PV」とか「DLL Compare」なども試してみたいと思います。
補足
上記の方法でも試してみましたが、前回同様に拒否されましたとのメッセージが出てしまいました。色々とアドバイスを頂いているのになかなか削除することが出来ません。 この後にまた別の方法で試してみます。本当にありがとうございます。削除できるまでがんばります。
- hamahamachan
- ベストアンサー率50% (318/624)
「プロセスはファイルにアクセスできません。別のプロセスが使用中です。」が出て削除できない、ということですが、「セーフモードとコマンドプロンプト」というモードで起動して、「del C:\WINDOWS\system32\pmnon.dll 」ではどうなんでしょうか。同じことかもしれないけれど、他に思いつかない。。。
補足
色々なアドバイスありがとうございます。上記の方法を試してみましたが、やはり同じ結果で、プロセスが使用中となりました。他の方々からも色々な方法を教えて頂いているので試してみます。 こんなにウィルスと戦うことになるとは思ってもいませんでしたが、皆さんのアドバイスのおかげで大変心強くなります。
- doki2
- ベストアンサー率51% (440/860)
>LoadLibrary(" pmnon.dll")に失敗しました-アクセスが拒否されました DLLファイルがエキスプローラから起動されている可能性があります。 次の方法を試してください。 1.セーフモードで再起動 2.「Ctrl」 + 「Shift」 + 「Esc」 でタスクマネージャを起動 3.「プロセス」タブを開き「イメージ名」欄の「Explorer.exe」 を右クリック 4.「プロセスツリーの終了」をクリック 5. タスクマネージャの「アプリケーション」タブを開く 6.画面右下の「新しいタスク」ボタンをクリック 7.「cmd」と入力して「OK」 8.コマンドプロンプト画面で下記入力(コピペ) del C:\WINDOWS\system32\pmnon.dll 上記(3)でエキスプローラの画面およびエキスプローラから起動されているプログラムがすべて停止され、画面が不安定になりますが異常ではありません。 パソコンを再起動すれば正常に戻ります。
補足
doki2さん、上記のご回答ありがとうございました。今度こそはと思いながら試してみたのですが、やはり削除できませんでした。最後の8の作業まで進んだ後、”プロセスはファイルにアクセスできません。別のプロセスが使用中です。”というメッセージが出てきてしまいました。その後に再起動してみたのですが、まだファイルが残ったままです。 セーフモードで起動した場合のタスクマネージャのプロセスのタブにあるもので終了できるものは全て終了して再度トライしてみたのですが、ダメでした。解決策はあるのでしょうか・・・
- doki2
- ベストアンサー率51% (440/860)
>強削のフリーソフトをインストールして試してみたのですが、再起動するとやはり残っております。 いくつかのケースが考えられます。 DLLファイルはタスクマネージャには表示されません。 従ってタスクマネージャでは「停止」できません。 とりあえず下記試してください。 1.「スタート」「ファイル名を指定して実行」で下記入力して「OK」 Regsvr32 /u pmnon.dll 2.エキスプローラで「C:\WINDOWS\system32\pmnon.dll」を削除。
補足
ご回答ありがとうございます。試してみたのですが、下記の通りの結果でやはり削除できませんでした。 1.ファイル名を指定して実行 →LoadLibrary(" pmnon.dll")に失敗しました-アクセスが拒否されました 上記のようなメッセージがでました。 2.削除ですが、前述の通り”ほかの人またはプログラムによって使用されている為削除出来ない”というようなメッセージが出てきました。
- 1
- 2
お礼
色々とありがとうございました。やっとでこのウィルス駆除をすることが出来ました。ANo.14での方法ですが、1から6の方法でもやはりダメでした。しかし、Symantecの駆除ツールのサイトを見たところ、英語のページはUpdateされていたようなので、そちらで再度挑戦したところ上手く行きました。大変長い時間がかかりましたが、駆除できてよかったです。本当にたくさんのアドバイスをありがとうございました。