- ベストアンサー
TROJ_Genericの新種?亜種? 完全に削除できません。
TROJ_Genericの質問は複数ありましたが、解決できなかったので再度質問します。 Windows2000で C:\Documents and Settings\d400192\Local Settings\Tempの中に,ランダムな名前のexeファイルがあります。 ウイルスバスタ(最新パターンファイル)で、「TROJ Generic」に認識されたました。 MicroTorendのオンラインスキャンも同様でした。 ニフティのオンラインスキャンでは、「Trojan-Dropper.Win32.Mudrop.eb」で認識されました。 放置してインターネットをしていると、スパイウエアみたいなファイルが複数発見されましたが、これらは駆除または削除できました。 しかし、「TROJ Generic」だけは、実行中とかで駆除も削除もできません。 セーフモードで削除しても、通常モードで再起動すると また同じフォルダにランダムファイル名で現れます。セーフモードの起動時は現れません。 不具合は、PC起動やアプリケーション、ファイルを開く度に、ウイルスバスターがデフォルトドライブをすべてスキャンして10分間ぐらいかかり、作業ができません。 ウイルスバスタを終了すると、従来と変わりなく作業ができます。 タスクマネジャー、HijackThisやその他のアプリ等で、スタートアップやサービスをチェックしたのですが、特別怪しいものはありません。 但し、レジストリーのスタートアップで「Systems Restart」が調べてもなんなのか判りません。 元凶のウイルスファイルか、レジストリーを探し出す方法は、他にないでしょうか。
- tmsnk
- お礼率66% (8/12)
- ウィルス・マルウェア
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
いろいろ手を尽くしても皆目…という時点で、あくまでもリカバリが推奨ですが。 まだ何か、ということになると…rootkitの介在を疑う余地があるかと。 おそらく、higaitaisaku.com辺りではSilent Runner辺りの出番になると思われます。 http://www.higaitaisaku.com/silentrunners.html でも…これのログ解析はかなり難しそうです。もちろんこの掲示板上で解析することは文字数などからも困難だと思います。このツールを利用されるなら独力で行うよりは、higaitaisaku.comの質問掲示板に移動されるべきでしょう。もちろん、ここでの質問は事前に締め切り、様式にしたがってHijackThisのログ提出から、という既定どおりの手順を踏むべきであることは言うまでもありません。 rootkitそのものを直接調べる対策ツールは各社から無償で提供されています。Sophos、TrendMicro、McAfee、AVG、Panda…それこそいろいろ出ていますが、どれを使えば今回の事例が解決出来るかについては全く確約出来ません。 ちなみに… >但し、レジストリーのスタートアップで「Systems Restart」が調べてもなんなのか判りません。 Systems Restartなる項目が存在するが、どういう意味があるのかが分からない、ということなのでしょうか?例えばこういうページが見つかりました。 http://www.symantec.com/region/jp/sarcj/data/p/pwsteal.tarno.h.html 勘違いのないように申し上げておきますが、あくまでも参考として紹介したまでです。今回の感染の元凶がPWSteal.Tarno.Hであるということではありませんのでくれぐれも誤解のないようにお願いします。 次のような一節があります。 ***** 次の値を "Systems Restart"="%Windir%\slchost.exe" 次のレジストリキーに追加することによって、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Windows の起動時に必ずトロイの木馬が実行されるように設定します。 ***** つまり、こういうことです。 "Systems Restart"という項目の名称は汎用的に使われますから、この名称だけに頼って調べても具体的なことは分からない可能性が高いです。問題となるのはスタートアップ項目として存在するこのキーの中身です。"="として記されているファイルが特定出来れば、それが今回の問題の元凶であるのかも知れません。まぁ、まずはそんな単純なものではないでしょうが。 それにしても…Systems Restartには何と書かれているのでしょうね。 次のようなページも見つけましたが。 http://www.hijackfree.com/en/autorundetails/?name=Systems%20Restart 取りとめのない書き方になり、申し訳ありません。
その他の回答 (3)
- HDKYZK1978
- ベストアンサー率66% (369/559)
横から失礼します。 >しかし、「TROJ Generic」だけは、実行中とかで駆除も削除もできません。 念のため システムの復元 を無効にしてください。 続けて以下の URL を参照してオンラインスキャンを実行してください。 Windows Live OneCare - http://onecare.live.com/site/ja-JP/default.htm Microsoft でのスキャンとなります。 Windows Live OneCare PC セーフティは Microsoft Windows XP/Server 2003/2000 上で動作します。 またプログラムの実行には Internet Explorer 6 以上または MSN Premium が必要です。 ウイルスの検知と除去から PC 内の不要なファイルの削除 そして PC のパフォーマンスの向上まで実行されます。 時間は掛かりますが試してみてください。 なお同じマルウェアでもセキュリティソフト会社によって名前が違います。 宜しければ結果も教えてください。
お礼
遅くなりましたが、回答ありがとうございました。 せっかくご教示頂きましたが、OSのバージョンが低く、バージョンアップも検討しましたが、PC容量が不十分等問題があり、結果的にオンラインスキャンできませんでした。 別の方法で解決できましたので、結果をANo4のryu-fizさんへのお礼欄にて報告いたします。
>Trojan-Dropper.Win32.Mudrop.eb 別の会社の情報ですけど、その名前だとこれの可能性が。↓ http://www.viruslist.com/en/viruses/encyclopedia?virusid=163420 日本のカスペルスキーにはまだ情報がないので確証ありませんが、カスペルスキーのオンラインスキャンで調べてみては。 http://www.kaspersky.co.jp/virusscanner PC全体のスキャンするのが効果的でしょうが、もし本当に感染してたら長い時間ネットにつなぐのもやばいから、下にあるファイルスキャンで怪しいファイルを直接調べるのがいいです。 これで検出されたら本当に感染、そうでなくばウイルスバスターの誤検出かも?
お礼
回答 ありがとうございます。 カスペルスキーのオンラインスキャンで調べました。 結果は、ニフティのオンラインスキャンと同じで、「Trojan-Dropper.Win32.Mudrop.eb」が検出されました。 ニフティは、カスペルスキーを使用しているようで、スキャン画面や操作がまったく同じでした。 「Trojan-Dropper.Win32.Mudrop.eb」の情報も収集していますが、駆除方法等の情報が見つかりませんでした。
- takatosen
- ベストアンサー率37% (378/1016)
とりあえず、こちらのページの対応方法を参考にしてみてください。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGENERIC
お礼
回答 ありがとうございます。 TrendMicroの対応方法は、最初に試しましたが、解決できませんでした。
お礼
発見しました。 通常モードでは、なぜか検出できなかったのですが、セーフモード+ネットワークで起動して,カスペルスキーオンラインスキャンをしたら、下記ウイルスを検出しました。 分類名:Backdoor.Win32.Webdor.ay ファイル名:Clearsys.exe(属性:隠しファイル) 場所:C:\Documents and Settings\All Users\Application Data\Windows Media Directory\ スタートアップのレジストリーキー HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に次の値がありました。 "ImMSN"=C:\Documents and Settings\All Users\Application Data\Windows Media Directory\Clearsys.exe "Systems Restart"="" 上記ファイルを隔離したら、通常モードで起動しても、TROJ_Genericは作成されませんでした。 アドバイスを頂いておかげで、なんとか解決できました。 ありがとうございました。
補足
回答 ありがとうございます。 内容は、かなり専門的になりそうですが、何か光が見えた様な気がします。 higaitaisaku.comで、HijackThisを知り、ログの解析もしましたが、発見できず、ログ提出も無駄かなぁとあきらめていました。 教示頂いた内容を参考に、再度挑戦してみます。 時間がかかりそうですが、結果はお礼かたがた報告します。 尚、レジストリーの「Systems Restart」の値は、空白になっています。