Unlockerでの削除の仕方

難しい作業を時間をかけて駆除するよりも、今回はリカバリした方が安全なような気がします。 というのは、過去の質問を見ていて、２つの同じようなウイルスに感染した方があり、 一方の方は、ある程度の知識があったので、駆除には成功しています。 もう一方の方は、いろいろと調べても改善の見込みがないので、リカバリしています。 僕の意見としては、質問者があまりパソコンについて詳しくはないですし、 そのウイルスが見つかっているファイル名から検索すると、 スパイ活動をするタイプのウイルスの可能性が非常に高いのです。 ですから、時間をかけて駆除するよりも、情報漏洩が少ないし被害の少ないリカバリを勧めます。 使い方の知らないソフトでわざわざ駆除しても、解決出来ない可能性が非常に高いと考えます。 厳しい意見ですが、これ以上のウイルスとの関わりは、何もメリットはないと思います。 早急にリカバリして、新たにウイルス対策することを勧めます。 以下のアドレスが、同様のウイルスに関する質問ですので参考にしてください。 QNo.2057941 削除できません http://okwave.jp/qa2057941.html QNo.2060809 TROJ_DELF.AXEの駆除方法 http://okwave.jp/qa2060809.html

#2です。 度々恐れ入ります。Unlockerは有用ですよ。#3さんの紹介してるSlightTaskManagerとかだったら、まだ、Process ExplorerやIceSword、Advanced Process Terminationとかの方が使えます。 ボクはVM上で実際にTrojan感染させて試してるので、Unlockerは有用です。

Trojan Horseは現状の定義で明確に検出出来ないものに対し暫定的に付けられる名称でもあるため、 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2004-021914-2822-99&tabid=3 に書かれているものは汎用的な手法となります。初心者レベルだと理解しにくいかも知れません。 前置きはこの位にして…。 >感染したファイル名は「smss.exe」です。 >プロセスの終了を試みましたが、できませんでした。 実はWindows標準のシステムファイルにも"smss.exe"というのがあります。これを検出されたウイルスと見誤ってタスクマネージャ上から停止させようとしたが出来なかった、という可能性があります。もう一度、感染として検出された"smss.exe"がどこにあるものなのかを再確認されるべきではないかと思います。 正しくシステムファイルである"smss.exe"のパス（存在場所）は、 C:\windows\system32\smss.exe となります。偽者はおそらく次のようなパスになる筈です。 C:\windows\smss.exe （もしかすると別のパスになるかも知れませんが、システムファイルのものとは異なるパスになるのが普通です。） 現実問題として、Windows標準のタスクマネージャでは両者の区別がつきにくいため停止させることが困難になります。次のようなフリーソフトを使ってみると良いと思います。 http://uechoco.s14.xrea.com/download/stm.html Unlockerを使うべきなのは、exe形式以外のファイルでタスクマネージャやそれに近いソフトを利用して直接停止させることが難しいファイルに限られるかと思います。今回の場合、多分Unlocker以外のツールの利用が望ましいと思います。 SlightTaskManagerのようなソフトを使ってsmss.exeの停止が出来たら、エクスプローラなどを使ってsmss.exeを手動で削除してください。 なお、smss.exe自体の削除に成功しても、この実行ファイルが自動的に起動されるように作成されたレジストリ上の記述がおそらく残ることになり、システム起動時に不快なエラーメッセージが出続けることになろうかと思います。ですので、レジストリ上の記述についても削除しておく必要があるかと思います。 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2004-021914-2822-99&tabid=3 にも書かれていますが…それ関係の記述は次のような場所に存在することが多いです。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 基本的には、レジストリエディタを利用して上記の場所を確認し、件のsmss.exeが関係する記述を見つけて削除することになります。（間違っても、上記の場所にあるレジストリキーを無条件に全削除することのないように。他の無害な常駐プロセスやシステム関連のプロセスまで起動しなくなり危険です） この機会に、レジストリエディタの利用に慣れておかれる方が望ましいのですが…荷が重いという場合には、次のようなソフトを使えば比較的簡単にこの種のレジストリキーを処理することが出来そうです。 http://www.vector.co.jp/soft/winnt/util/se399335.html 上記ソフトの動作にはVB6ランタイムが必要となります。もしご自身で導入されていなければ追加でランタイムもインストールする必要があります。 http://www.vector.co.jp/vpack/filearea/win/util/runtime/ から、適当なものを探して入れてください。 ウイルス警戒管制システムXを利用する場合には、このソフトからsmss.exeの終了も可能だと思いますので、SlightTaskManagerは不要になるかも知れません。 もし、ウイルス警戒管制システムXから削除すべきレジストリキーが見つからない場合には、レジストリエディタからの作業がより確実ですが…次のサイトで紹介されているフリーソフトを利用することでもおそらく削除は可能だと思います。 http://eazyfox.homelinux.org/SecuTool/CCleaner/CCleaner001.html レジストリ上に記述されているが参照すべきファイルの実体がない、というキーについては、このソフトのレジストリ検索機能で検出、削除である可能性が高いと思います。 インストールに際しては注意すべき点があります。何も考えずにインストールを進めていった場合、米Yahoo!のツールバーが同時にインストールされてしまいますので、『CCleanerをYahoo!ツールバーに追加』のチェックは必ず外すようにしてください。

こんにちは。 ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。 実はシステムプロセス名にされると、普通には停止できなくなります。 Unlockerは英語を選択したほうがいいでしょう。で、右クリからunlockerを選択、unlock all選択。Delete on rebootの対処になると思います。本来のsmss.exeと間違わないようにして下さい。

http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2004-021914-2822-99&tabid=3 駆除方法でしたら別にあるのでこちらを参考にして下さい。 過去にUnlokerを勧めししまった人間ですが、後でremove用ツールが あったことを知り恥ずかしく思ったことがあり反省しています。