- ベストアンサー
ウイルスのレジストリ改変
ワームの自動起動設定を削除するためにWindowsのレジストリエディタを使用して指定のレジストリを削除しようとしたのですが見つかりません。 ちなみにウイルスはWORM_ANTINNY.BDとWORM_ANTINNY.BIです。 自分の見方が悪いのでしょうか?
- kotokoba
- お礼率42% (144/341)
- ウィルス・マルウェア
- 回答数4
- ありがとう数7
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
ログは問題ありませんね。 O4で見る限り他のウイルスに感染している様子も無いです。 強いて言えば以下は不要なのでFix http://www.higaitaisaku.com/hijackthis.html#jyokyo >O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 参考 http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=375 こちらへの返事を頂けなかったので判断出来ませんが・・・ >なぜ「ANTINNY」の処置をしようとされたんですか? >その切っ掛けは何かの拍子にバスターがANTINNYを検出した? 感染>発病してないんじゃないかな? バスターは以前から導入していた>何かの時にANTINNYを検出&処理した 心配になってTrendページ参考に処理しようと思った でも該当するレジストリキーが無かった ・・・って事ならバスターを最新にアップデートして 全ドライブスキャン行って何も検出がなかったら無問題です。 発見場所も↓やキャッシュからなら心配無いですし http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-211794 kotokobaさんがしっかり感染させたって覚えある状況ならリカバリも仕方がありませんが。 一応こちらも貼っておきます クリーンインストール http://www.higaitaisaku.com/cleaninst.html ワームに感染しない Windows 2000/XP のインストール手順 http://tomcat.nyanta.jp/t_html/contents/wininstall.shtml
その他の回答 (3)
- mama_ane
- ベストアンサー率69% (136/197)
No2です HijackThisページのURL貼るのを忘れていました http://www.higaitaisaku.com/hijackthis.html ログの「O4 - HKLM\..\Run:~」「O4 - HKCU\..\Run:」となっている部分をチェックします
補足
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [OE] "C:\Program Files\Trend Micro\Anti-Spam For OE\TMAS_OEMon.exe" O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2006\pccguide.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Mini\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1041 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [HDDHealth] C:\Program Files\HDD Health\hddhealth.exe -wl とでました。
- mama_ane
- ベストアンサー率69% (136/197)
なぜ「ANTINNY」の処置をしようとされたんですか? その切っ掛けは何かの拍子にバスターがANTINNYを検出した? ※Winnyなどで落としたファイルから検出なんて場合は論外ですが。 ウイルスバスターを常駐させているのなら 古いウイルスですし感染前にバスターが食い止めているような気がします。 レジストリキーが無い=感染していない場合もあります。 全ドライブスキャンで感染ファイルが無ければ問題無いようにも思います。 検出があっても検出場所次第では「感染」では無いケースもあります (キャッシュや復元バックアップなど) >HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\YA_WMP >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ara-key これはHijackThisログにも出ますから以下のページ参考にログ取ってみますか? そのログの O4 を返信で書き出して貰えばチェックさせて頂きます。
お礼
お返事ありがとうございます。 やってみます。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
そのような状態であれば、リカバリしてしまうことを勧めます。 というのは、「WORM_ANTINNY」がどのような経路で入ってきたのかある程度推測されますので、 そのようなP2Pソフトの使用を止めて、リカバリした方が安全です。 今回見つかっている「WORM_ANTINNY」以外のウイルスが、一緒に入っている可能性もあるし、 すでにあなたのパソコンの情報が、別のウイルスで漏洩している可能性もあるのです。 時間を掛けてレジストリ編集するよりも、リカバリを推奨します。
お礼
お返事ありがとうございます。 そうですね・・・リカバリも検討してみます。
お礼
ご丁寧にありがとうございました。 昔に使っていたのですがファイル共有で 手に入れて忘れてたファイルを改めて開いてしまって・・・・ リカバリも考えてみます。 お手数かけましたm(_ _)m