rdriv.sysが起動のたびに作成される

>trendの指示書とおりにレジストリーのキーservices/rdrivを削除し　winNT/system32/rdriv.sysも削除しましたが 常識的には、該当するサービスを停止した後、「Rdriv.sys」を削除できれば駆除できそうに思います。 ところが昨年暮れあたりから、「Rdriv.sys」関連で、さまざまなサービスを起動する例が報告されています。 「AVast!」のフォーラムで面白い記事を見つけました。英語ですが興味のある方は参照してみてください。 http://forum.avast.com/index.php?PHPSESSID=f78a0817db6a102b78c03c8bb10ba7a4&action=profile;u=16118;sa=showPosts ☆5 viruses and worms/viruses and worms/Re:rdriv.sys on:October 07, 2005 「HijackThis」のログで検出されるものの例 O23 - Service: iTunes Music Service (iTunesMusic) - Apple - C:\WINDOWS\iTunesMusic.exe O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe O23 - Service: Windows Management Construct (winmgmc) - Unknown owner - C:\WINDOWS\winmgc.exe O23 - Service: Windows Update Service - Unknown owner - C:\WINDOWS\pwnsvc.exe O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe O23 - Service: AOL Instant Messenger - Unknown owner - C:\WINDOWS\aims.exe O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\sdktemp.exe iTunesMusic.exe、lsass.exe、wkssvc.exe、winmgc.exe、pwnsvc.exe、aim.exe、sdktemp.exe等どれをとっても、正規のファイルとして見逃してしまいそうなものばかりです。 「Rdriv.sys」自体は「HijackThis」のログには現れませんが、上記の設定等によってサービスから起動されている可能性があります。 ☆3 viruses and worms/viruses and worms/Re:rdriv.sys on: October 07, 2005 「Once the rootkit is removed, Ewido does effectively remove alot of malware」 「RootKit」（Rdriv.sys）を削除してから「Ewido」でスキャンすると無数のマルウエアを駆除できるようになるそうです。 ☆6 viruses and worms/viruses and worms/Re:rdriv.sys on:October 07, 2005 駆除方法についての説明です。 実際の駆除作業はセーフモードで実行するので、事前に下記のファイルをダウンロードします。 ☆rdrivRem.zip ttp://www.atribune.org/downloads/rdrivrem.zip （直リンですので、URLの先頭に「h」を追加してください。） 使い方については下記参照ください。 http://www.atribune.org/content/view/26/2/ rdrivrem.zipを解凍すると下記のファイルが作成されますので同じフォルダに保存してください。 swsc.exe hosts rdrivrem.bat ☆Ewido Security Suite ttp://www.ewido.net/en/download/ （直リンですので、URLの先頭に「h」を追加してください。） 使い方については下記参照ください。 http://fine.tok2.com/home/heto2/0700SecurityApp/EWIDO/0001.htm 初めて使用する際はデータのアップデート画面になりますので画面の指示に従ってください。 すでに使用中の方は「Ewido」を起動し、画面左の「アップデート」をクリック、画面右の「アップデートのスタート」をクリックして最新のデータをダウンロードしてください。 画面右上の「X」ボタンでいったん「Ewido」を終了します。 ☆ATF-Cleaner.exe ttp://www.atribune.org/ccount/click.php?id=1 （直リンですので、URLの先頭に「h」を追加してください。） ☆駆除作業の前に この種の作業は、あくまで自己責任で実行することになります。 万一の事態に備えるため重要なファイルやレジストリのバックアップを取って置いてください。 作業中のファイルがあればすべて終了させてください。 準備ができたら、パソコンをセーフモードで再起動します。 ☆駆除作業１．「rdrivRem.bat」の実行 １．rdrivRem.zipを解凍してできる「rdrivRem.bat」をダブルクリックして実行します。 ２．「rdriv.sys and EsBot Killer」の画面が表示されます。 ３．続行する場合はリターンキー、中止する場合は画面右上の「X」ボタンで終了します。 ４．作業が終了すると、作業の結果が「rdrivRem.bat」が保存されているフォルダに「rdriv.txt」という名前で作成保存されます。 ☆駆除作業２．「ATF-Cleaner.exe」の実行 最近のマルウエアはテンポラリーフォルダに不審なファイルを保存することがあります。 ATF-Cleaner.exeを使ってテンポラリーフォルダにあるファイルを削除します。 「ATF-Cleaner.exe」を起動して「Main」画面でチェックボックスの一番下の「Select All」をチェックして、「Empty Selected」をクリックします。 （もし、重要なクッキーファイルがある場合はデスクトップ等わ分かりやすい場所に移動しておいてください。） 「hosts」ファイルを初期値で上書きする作業が入ります。「hosts」ファイルに特別の設定がある場合は別名でバックアップをとっておいてください。 Firefox、Opera をご使用の方は下記参照ください。 If you use Firefox browser Click Firefox at the top and choose: Select All Click the Empty Selected button. NOTE: If you would like to keep your saved passwords, please click No at the prompt. If you use Opera browser Click Opera at the top and choose: Select All Click the Empty Selected button. NOTE: If you would like to keep your saved passwords, please click No at the prompt. Click Exit on the Main menu to close the program. ☆駆除作業３．「Ewido」の実行 「Ewido」を起動し、画面左で「スキャン」をクリック 「スキャン」画面右で「Complete System Scan」を選択します。 感染ファイルが見つかると「Infected object found!」の画面になります。 「アクションの実行」の右側のドロップダウンリストで「削除」を選択して、「OK」をクリックします。 また、画面下の「全ての感染に対してアクションを実行」にチェックを入れておくと見つかった感染ファイルに同じ動作（削除）を適用させることができます。 今、インターネット最大の脅威がSDBot、Esbot等による「ボットネット」といわれています。そして感染を隠蔽するために利用されているのが「Rdriv.sys」をはじめとする「RootKit」です。 下記参照してください。 機密データを盗むトロイの木馬「MetaFisher」が北米で猛威 http://itpro.nikkeibp.co.jp/article/USNEWS/20060327/233417/ あなたのパソコンに侵入しているかもしれない－ボットの驚くべき実態が明らかに http://itpro.nikkeibp.co.jp/article/NEWS/20060426/236425/ 悪質ソフト隠すrootkitが激増――McAfee調査報告 http://cgi.itmedia.co.jp/tt/4107/20060419/enterprise/articles/0604/18/news010.html