- ベストアンサー
コマンドプロント画面が一瞬でる件
OSはWINDOWS XPでウイルスバスター2005とAD-AWAREとSpybotを使用しています。これらのソフトで検索してスパイウェアをすべて削除しましたが、 サイトを開く時にコマンドプロンプトのような黒い画面が一瞬現れて消えてしまいます。その中には、C¥なんとかと書いてありました。一瞬で見えなかったのですが、なにかバッググラウンド動いているのではと、とても不安です。どなたかこの意味と対処法をご存知の方教えてください
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
>再セットアップを試みます残念でした。 私も残念ですが・・・ しかし、一般のユーザーさんにとって「再セットアップ」は最善の選択肢でもあります。 なんといっても、ご自分の知識の範囲内で処理できますし、いざとなるとパソコンメーカーのアドバイスを受けることができ、時間の節約にもなります。 ウィルスの製作者にとっても、最大の敵は「再セットアップ」なのです。 以下、ご参考までに。 1.>いくらやってもタスクマネージャが実行できません。 簡単なものとしては、レジストリを使ってタスクマネージャを使えなくする方法があります。 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr=1 修復:DisableTaskMgrの値を0にします。 2.Soundman.exeについて 会社名が「Avance Logic」「RealTek」というのはありますが、「Microsoft」というのは聞いたことがありません。 Soundman.exeは日本製のパソコンではあまり使われません。欧米のパソコンでは正規のプログラムとしてスタートアップで起動されている例が沢山あります。 前述のようにタスクマネージャを開けない状態であれば、レジストリキーを見て「Microsoft」と勘違いされたのかもしれませんね。 3.「A.exe」について よく似た感染例が下記にあります。 http://www.thetechguide.com/forum/lofiversion/index.php/t25567.html 「Dropper.VB.kw」または「Alcan」というスパイウエアのようです。 「Alcan」の修復については下記の修復例があるので参照ください。 http://oshiete1.goo.ne.jp/kotaeru.php3?qid=1865582 前回の「Alcan」とよく似ているのですが、細かい部分ではかなり変化しています。 今回の感染では、タスクマネージャが使えないということですが、前回の例ではレジストリエディターが使えなくったようです。 また、TaskLoggersのログで「wmplayer.exe」が起動されているということはおそらくWindowsMediaPlayerが改変されています。 4.EWIDOのスキャンログ 起動直後の「ステータス」画面で「スキャン」を選択 「アップデート」を選択してデータを最新の状態にします。 「スキャン」を選択して、画面右側で、例えば、「Complete Syste Scan」を選択します。 「スキャン」が終わると画面右下に「View Report」ボタンが表示されます。 この画面又は「View Report」ボタンをクリック下画面で「レポートの保存」をクリックしないとログは保存されません。 ログは「EWIDO」をインストールしたフォルダ内の「Reports」フォルダに保存されます。 ファイル名は、例えば次のようになります。 "C:\Program Files\ewido\security suite\Reports\スキャンリポート_20051106.txt" 結果的には、難解なウィルスへの複合感染でしたので、「リカバリ」が正解だったと思います。
その他の回答 (5)
- doki2
- ベストアンサー率51% (440/860)
2.p2pnetworking.exeとa.exe 2006/02/11 18:39:15,ログ開始,1612,p2pnetworking.exe,C:\WINDOWS\system32\p2pnetworking.exe,2004/10/28 03:22:46,2004/08/06 04:00:00,2006/02/11 18:39:05 2006/02/11 18:39:43,開始 ,2100,a.exe,C:\Documents and Settings\Ryouichi\a.exe,2006/02/11 ,1612,p2pnetworking.exe,C:\WINDOWS\system32\p2pnetworking.exe, 二つのプログラムがタッグを組んでいる可能性があります。 「p2pnetworking.exe」が削除されても「a.exe」がそれを見つけて復活させているのかもしれません。 AAA.「タスクマネージャ」のプロセス画面で二つのプロセスを終了させる BBB.「サービス」の画面で二つのプログラムが開始されていれば「停止」 「スタート」「ファイル名を指定して実行」で「services.msc」と入力して「OK」で「サービス」の画面を開いてください。 CCC.エキスプローラで二つのファイルを削除 DDD.「HijackThis」で下記の行に」にチェックを入れ「Fix Checked」 O4 - HKLM\..\Run: [] p2pnetworking.exe O4 - HKLM\..\RunServices: [] p2pnetworking.exe EEE.パソコンをセーフモードで再起動して「EWIDO」でスキャン セーフモードでなければ駆除できないので注意してください。 FFF.パソコンを通常モードで再起動してもう一度「EWIDO」「HijackThis」「TaskLogger」のログを貼り付けてください。 「EWIDO」「HijackThis」のログを「補足」欄に 「TaskLogger」のログを「お礼」欄に貼り付けるといいと思います。
お礼
すみません何回やっても消えないようなので再セットアップを試みます残念でした。 いままでご協力して頂きありがとうございました。 また、スパイウェアに対しても今までより意識や知識が格段に高まりました。ほんとうにありがとうございました。
補足
services.mscは、できたので2つチェックを入れFix Checkedしました。 その後セーフモードでEWIDOでスキャンしましたが EWIDOのログの出し方がわからなかったのですみません。 HijackThisのログです。 Logfile of HijackThis v1.99.1 Scan saved at 22:18:19, on 2006/02/12 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe C:\Program Files\Digital Media Reader\shwiconem.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\zHotkey.exe C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Canon\MyPrinter\BJMyPrt.exe C:\Program Files\wmplayer\wmplayer.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS C:\Program Files\Jungle\SGAntiSpy\PZServiceNt.exe C:\WINDOWS\system32\slserv.exe C:\Program Files\Jungle\SGAntiSpy\PZMon.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe C:\Program Files\Jungle\SGAntiSpy\Common\DB\KAV\kavss.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe C:\Program Files\Jungle\SGAntiSpy\PZTr.exe C:\Documents and Settings\Ryouichi\デスクトップ\CHJT\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [SunKistEM] C:\Program Files\Digital Media Reader\shwiconem.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] zHotkey.exe O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [wmplayer] C:\Program Files\wmplayer\wmplayer.exe /auto O4 - HKLM\..\Run: [SGAntiSpy] "C:\Program Files\Jungle\SGAntiSpy\Update.exe" /launch/run/hide O4 - HKLM\..\Run: [] p2pnetworking.exe O4 - HKLM\..\RunServices: [] p2pnetworking.exe C:\WINDOWS\system32\ctfmon.exe 途中までしかはいらないのですみません。
- doki2
- ベストアンサー率51% (440/860)
1.SOUNDMAN.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE Realtekのサウンドドライバーであれば問題ありませんが、ウィルスであれば駆除する必要があります。 エキスプローラでファイルのプロパティを調べてみてください。 http://www.sophos.co.jp/virusinfo/analyses/w32agobotex.html (続く)
お礼
SOUNDMAN.EXEですがこちらは、microsoft社のものでした。
補足
いつもありがとうございます。 残念ながら、いくらやってもタスクマネージャが実行できません。
- doki2
- ベストアンサー率51% (440/860)
AAA.マイクロソフト正規のファイル C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ntvdm.exe これらはマイクロソフト正規のファイルです。 しかし、ウィルスによって書き換えられることがありますので、念のため、プロパティ画面で会社名がMicrosoftになっていることを確かめてください。 BBB.ウィルス C:\WINDOWS\system32\p2pnetworking.exe バックドアを開き情報を抜き出したり広告を表示するウィルスです。 Win32/Rbot.CQR!Worm, Backdoor.Win32.Rbot.rc (Kaspersky) http://www.casupport.jp/virusinfo/2005/win32_rbot_cqr.htm W32/Rbot-AFL http://www.sophos.com/virusinfo/analyses/w32rbotafl.html このウィルスについては「EWIDO」で駆除してください。 ダウンロード:ewido security suite http://www.ewido.net/en/download/ 参考:ewido networks スキャン http://eazyfox.homelinux.org/SecuTool/ewido/ewido01.html 他のウィルス対策ソフトとの干渉を避けるためインストール時の「Additional Options」画面で下記の項目のチェックをはずしてインストールしてください。 Install background guard (required for automatic updates) Install scan via context menu また、パソコンをセーフモードで再起動して「EWIDO」を実行してください。 ☆Windowsをセーフモードで起動する http://www.higaitaisaku.com/safemode.html CCC.不明なファイル C:\Documents and Settings\Ryouichi\a.exe 「a.exe」というファイルについての確信のもてる情報がありません。 エキスプローラで直接削除してどうなるか様子を見てください。 DDD.「HijackThis」によるスタートアップの調査 ☆HijackThisによるレポート出力と手動でのスパイウェア除去 http://www.higaitaisaku.com/hijackthis.html ただし、使い方がわからずに操作すると重大な支障が発生することがあります。 十分な知識なしに指示されたこと以外の操作をしないように注意してください。 とりあえず以下の作業をやってみてください。 1.「C:\HJT」と言うフォルダを作っておきます。 以下、このフォルダを「HJT」フォルダと呼ぶことにします。 2.下記サイトから「HijackThis」をダウンロードします。 http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1 3.ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。 4.「HijackThis.exe」を「HJT」フォルダに保存します。 以降このフォルダにログファイルやバックアップが保存されるようになります。 5.IEの画面をすべて閉じた後「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック 6.「HijackThis」の画面が開かれシステムをスキャンした結果が一覧表示されます。 7.また「hijackthis.log」と言うファイルが「HJT」フォルダに自動的に保存されます。 「HijackThis」の画面に下記のような行があると思います。 「O4 -」で始まる行をすべてコピーして補足欄に貼り付けてください。
補足
早速のご丁寧なご回答ありがとうございます。 早速ewidoにて駆除を行いその後TASKLOGGERで見てみたところ、このようにでましたのでみてください。 長すぎて入らないので部分的にみてください。 2006/02/11 18:39:15,ログ開始,1612,p2pnetworking.exe,C:\WINDOWS\system32\p2pnetworking.exe,2004/10/28 03:22:46,2004/08/06 04:00:00,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1620,jusched.exe,C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe,2005/04/27 23:34:37,2005/03/04 03:36:46,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1636,SOUNDMAN.EXE,C:\WINDOWS\SOUNDMAN.EXE,2005/04/26 14:06:34,2004/11/15 03:20:20,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1644,igfxtray.exe,C:\WINDOWS\system32\igfxtray.exe,2005/04/26 13:26:08,2004/11/01 20:03:44,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1656,hkcmd.exe,C:\WINDOWS\system32\hkcmd.exe,2005/04/26 13:26:00,2004/11/01 19:59:42,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1676,zHotkey.exe,C:\WINDOWS\zHotkey.exe,2005/04/26 14:09:49,2004/05/17 18:30:04,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1696,pccguide.exe,C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe,2005/04/06 00:00:44,2005/11/25 21:13:44,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1704,realsched.exe,C:\Program Files\Common Files\Real\Update_OB\realsched.exe,2005/08/08 20:51:03,2005/08/08 20:51:03,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1724,BJMyPrt.exe,C:\Program Files\Canon\MyPrinter\BJMyPrt.exe,2004/05/24 10:00:00,2004/05/24 10:00:00,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1792,wmplayer.exe,C:\Program Files\wmplayer\wmplayer.exe,2006/02/03 17:30:54,2006/02/03 17:30:54,2006/02/11 18:39:14 2006/02/11 18:39:15,ログ開始,1828,ctfmon.exe,C:\WINDOWS\system32\ctfmon.exe,2004/10/28 03:23:21,2004/08/06 04:00:00,2006/02/11 18:39:05 2006/02/11 18:39:15,ログ開始,1860,ewidoctrl.exe,C:\Program Files\ewido anti-malware\ewidoctrl.exe,2005/11/30 2006/02/11 18:39:15,ログ開始,1972,PRISMXL.SYS,C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS,2005/04/26 14:02:54 2006/02/11 18:39:43,開始 ,2100,a.exe,C:\Documents and Settings\Ryouichi\a.exe,2006/02/11 ,1612,p2pnetworking.exe,C:\WINDOWS\system32\p2pnetworking.exe, やはりこのp2pnetworkingというのは強力なんでしょうか? それから、hijack thisにて出力しましたので見てください O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [SunKistEM] C:\Program Files\Digital Media Reader\shwiconem.exe O4 - HKLM\..\Run: [] p2pnetworking.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] zHotkey.exe O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [wmplayer] C:\Program Files\wmplayer\wmplayer.exe /auto O4 - HKLM\..\RunServices: [] p2pnetworking.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 何回も手間をおかけして申し訳ないです。
- doki2
- ベストアンサー率51% (440/860)
>サイトを開く時に 特定のサイトでしょうか? またはどのサイトを開くときも出るのでしょうか? >コマンドプロンプトのような黒い画面が 通常、DOSコマンドを実行すると下記フォルダが開かれ実行を終了するとコマンドプロンプトは閉じられます。 C:\Documents and Settings\ユーザー名> 「TaskLogger」を使う http://www.geocities.jp/makikoh76425/index3f.htm 1.「TaskLogger」を起動すると、システムトレーに「TaskLogger」のアイコンが表示されます。 2.アイコンを右クリックして「プロセスログログファイルを開く」をクリックします。 3.しばらく待つと、メモ帳が起動され、ログファイルが表示されます。 4.最初のほうの「2006/02/10 16:44:04,ログ開始~」は、実行中のプロセスの一覧ですので、この際無視します。 5.この状態でいずれかのサイトを開いてみてください。 6.そのとき「黒い画面」が表示されれば、多分、何らかのDOSコマンドが実行され、ログファイルに記録されます。 7.一旦、メモ帳を閉じて、もう一度「プロセスログログファイルを開く」をクリックします。 8.ログファイルの最後のほうに記録されている「開始」「終了」の行をコピーして貼り付けてみてください。 9.メモ帳では「書式」「右端で折り返す」のチェックをはずしたほうが見やすいでしょう 以下、実験例です。 2006/02/10 16:54:22,開始 ,9000,cmd.exe,C:\WINDOWS\system32\cmd.exe,~ 2006/02/10 16:54:48,開始 ,7796,xcopy.exe,C:\WINDOWS\system32\xcopy.exe,~ 2006/02/10 16:54:49,終了 ,7796,xcopy.exe,C:\WINDOWS\system32\xcopy.exe,~ 2006/02/10 16:55:03,開始 ,8340,EMEDITOR.EXE,D:\Program Files\EmEditor~ 2006/02/10 16:55:25,終了 ,8340,EMEDITOR.EXE,D:\Program Files\EmEditor~ 2006/02/10 16:55:28,終了 ,9000,cmd.exe,C:\WINDOWS\system32\cmd.exe,~ 1行目:コマンドプロンプトを開く。(cmd.exeが開始されています) 2行目:xcopyコマンドを実行。(xcopy.exeが開始されています) 3行目:xcopyコマンドが終了。(xcopy.exeが終了されています) 4行目:プロセスログログファイルを開く。(EMEDITOR.EXEが開始されています) 5行目:プロセスログログファイルを閉じる。(EMEDITOR.EXEが終了されています) 6行目:コマンドプロンプトを閉じる。(cmd.exeが終了されています) *EMEDITOR.EXEはメモ帳の代わりに使っているエディターです。 *メモ帳を使っている場合はNotepad.exeと表示されます。 うまく捕捉できない場合もありますが、一度試してみてください。
補足
早速のご回答ありがとうございます。 実行してみたところこのようなメモがされていました。メモの意味がよくわからないのですみませんが教えてください。何度もすみません。 2006/02/10 20:56:03,開始 ,3948,NOTEPAD.EXE,C:\WINDOWS\system32\NOTEPAD.EXE,2004/10/28 03:22:59,2004/08/06 04:00:00,2006/02/10 20:56:02 2006/02/10 20:56:09,開始 ,4008,wuauclt.exe,C:\WINDOWS\system32\wuauclt.exe,2004/10/27 11:57:23,2005/05/26 04:16:32,2006/02/10 20:56:08 2006/02/10 20:56:16,開始 ,656,IEXPLORE.EXE,C:\Program Files\Internet Explorer\IEXPLORE.EXE,2004/10/27 11:57:12,2004/08/06 04:00:00,2006/02/10 20:56:15 2006/02/10 20:56:21,開始 ,2172,a.exe,C:\Documents and Settings\Ryouichi\a.exe,2006/02/10 20:56:19,2006/02/10 20:56:19,2006/02/10 20:56:20 2006/02/10 20:56:26,開始 ,2500,ntvdm.exe,C:\WINDOWS\system32\ntvdm.exe,2004/10/28 03:23:00,2004/08/06 04:00:00,2006/02/10 20:56:26 2006/02/10 20:56:27,開始 ,2600,conime.exe,C:\WINDOWS\system32\conime.exe,2004/10/28 03:22:37,2004/08/06 04:00:00,2006/02/10 20:56:27 2006/02/10 20:56:29,終了 ,2500,ntvdm.exe,C:\WINDOWS\system32\ntvdm.exe,2004/10/28 03:23:00,2004/08/06 04:00:00,2006/02/10 20:56:26 2006/02/10 20:56:34,終了 ,1628,p2pnetworking.exe,C:\WINDOWS\system32\p2pnetworking.exe,2004/10/28 03:22:46,2004/08/06 04:00:00,2006/02/10 20:55:46 2006/02/10 20:57:06,終了 ,3948,NOTEPAD.EXE,C:\WINDOWS\system32\NOTEPAD.EXE,2004/10/28 03:22:59,2004/08/06 04:00:00,2006/02/10 20:56:02 2006/02/10 20:57:11,開始 ,3884,NOTEPAD.EXE,C:\WINDOWS\system32\NOTEPAD.EXE,2004/10/28 03:22:59,2004/08/06 04:00:00,2006/02/10 20:57:10 2006/02/10 20:58:25,終了 ,2172,a.exe,C:\Documents and Settings\Ryouichi\a.exe,2006/02/10 20:56:19,2006/02/10 20:56:19,2006/02/10 20:56:20
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
XPの更新・セキュリティソフトの更新がOKだとして、いったいどんなスパイウェアを削除したかわかりません。 シマンテックやトレンドマイクロのオンラインスキャンをやって、以下のサイトでステルス系のマルウェア対策のところを調べて、ブラックライトでスキャン。 http://www.higaitaisaku.com/menu5.html 中段付近。ステルス機能を持つマルウエアへの対処法 (Wiki) それらで何も出ないならOKでいいのでは。パソコンの不具合もないようなので。 コマンドプロンプトの出現はよくわかりません。 また、日ごろの備えとして、データの保存、マイクロソフトの更新プログラムの保存をしておいたほうがいいですね。リカバリのために。 http://www.microsoft.com/downloads/search.aspx?displaylang=ja XPならそれで検索するとたくさん出てきます。
補足
早速のご回答ありがとうございます。 本日AD-awareで検索したところwin32.P2P-worm.Alcan.Aが検出され削除しました。 やはり以前として一瞬だけコマンドプロントの画面が出てきます。なにかあるのでしょうか? この度はありがとうございました。
お礼
このたびは大変お世話になりました。先日再セットアップをいたしましてすっかり元通りになりました。 >難解なウィルスへの複合感染でしたので、「リカバリ」が正解だったと思います。 やはりそうでしたか。今後はP2Pソフトは控えるようにしたいです。 Soundman.exeについてですが再セットアップした今現在タスクマネージャーで確認したところすでに入っている状態でした。これはひとまず安心だと思います。 >また、TaskLoggersのログで「wmplayer.exe」が起動されているということはおそらくWindowsMediaPlayerが改変されています。 これは、私もずっと気になっていました・・なぜスタートアップされるのはおかしいなと思っていたんです。しかしWindowsMediaplayerが改変されることなんて思いもよらなかったです。 dokiさんには大変お世話になり感謝しています。ありがとうございました。