• 締切済み

パソコンが勝手にネットにアクセスしてます。

パソコン起動後、毎回 IPアドレス 216.195.61.148 2588番ポートへ勝手にアクセスしようとしているんです。その後、216.195.63.19:2716へも勝手にアクセスしているんです。以前vomdoウィルスに掛かってそれを外すのに苦労したんですが、spybot でサーチするとwin32.winlagonsっていうのが検出されます。それが駆除しても再起動するとまた検出されるんです。最初の質問と関係があるのでしょうか? vomdoを駆除してからは別にポップアップ広告が頻繁にでるとか、ネットが非常に遅いってことは無いんですが、どうにも気持ち悪いです。どなたか助けてください。

みんなの回答

回答No.7

参考情報です。 winlagons で、検索すると、安心だネットがhitします。 アクセスすると、torjan一覧が、でます。1番下にスクロール。 削除できますの項目でクリ。有料ですが、自信ありげです。 F,W レジ改編禁止 復元削除 英語版ソフトでも、だめ! 健全な時のリカバリ作成で対処等 。 自分かってにインストールうながすの、にげるがかち ですね! 実害がないだけ、成功と、おもいますが。失礼しました。

next100s
質問者

お礼

なんとかリカバリせずに削除することができました。 アドバイスありがとうございました。

すると、全ての回答が全文表示されます。
回答No.6

No3.です。 「セーフモード」でレジストリの「削除」をしても同じですかねぇ。

next100s
質問者

お礼

なんとか解決できました。 ウィルスに感染したと思われる日から、新たに作成されたDLLファイルをwin\system32内から検索したところ「sxd17.dll」というのが見つかりました。試しにリネームしようとしたところ「使用中で利用できません。」とのメッセージ。 怪しいと思ったので、 レジストリの中から「sxd17」を検索したら出てきました。HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sxd17 ! 前述のtcpsrと同じように削除しても、再起動で再度復活してます。 で、ProcessExplorerで探すとSystemにSxd17.dllとだけ、詳細情報は一切なしで自動実行されていました。 しかし、virtumondeの時のようにProcessExplorerでSxd17プロセスだけ停止ができなかったので、CDからWindowsを起動するフリーソフト BartPEからWin起動CDを作成。CDからWINを起動して、該当ファイル「Sxd17.dll」を削除しました。 結果 再起動後、Tcrsr、Sxd17のレジストリの項目も復活していません。悩みの勝手にネットにアクセスすることは無くなりました。 spybotなどもろもろのアンチソフトでは一切 sxd17は検出されなかったのですが、一体なんだったのでしょうね? ともあれ、勝手にネットにアクセスしているという気持ち悪い事態は終結しましたので一安心です。 親身になってアドバイスいただきありがとうございました。

すると、全ての回答が全文表示されます。
回答No.5

No3.です。 生意気に「いかにも出来そうに」書いてしまいました。 ごめんなさい。 すでにレジストリの「削除」等を実施されたようですね。 「削除」しても、また、出現する・・・。 私も、その後いろいろ情報を集めてみましたが、どれも「正解」らしきものは見つかりませんでした。 次のサイトのNo14.にあるように、リカバリしか手がないようですね。 http://ratan.dyndns.info/avast4/patio/patio.cgi?mode=view&no=379 >>Root\LEGACY_TCPSR\0000  これは「削除」しないでください。私のレジストリにも入っています。

すると、全ての回答が全文表示されます。
  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.4

勝手にアクセスすることが悪意ある第三者にとって利益があること。 リカバリをためらっているのもやはり利益になりますね。 駆除お宅ではないので何をどのように削除したらいいのかわかりませんが、spybot以外の「ウイルス対策ソフト」が何も検出しないのは、不思議でならないですね。 新種のもので対応していないのか、無力にされているのか。 パソコン一台ならリカバリが基本ですよ。 http://www.f-secure.co.jp/v-descs/disinfestation.html ウイルス・スパイウェア対策の基本は、マイクロソフトの更新、ネットを使うソフトの更新、P2Pソフトを使わない、 それとブラウズのセキュリティとして firefoxにノースクリプト、サイトアドバイザ http://www.siteadvisor.com/download/ff.html https://addons.mozilla.org/ja/firefox/addon/722 メールですが、webメールで間に合うものはそれを使うことですね。 どうやってうまく感染したのかわかりませんが、感染原因となるようなことを取り除かない限りリカバリしても解決しないことは確かに言えるんですが。 読み流し程度に。

すると、全ての回答が全文表示されます。
回答No.3

こんにちは。 これは「アドウェア」の一種に感染した可能性があります。 Spybotでスキャンをした後にwin32.winlagonsが検出されたら、そのまま「印刷」をしてみてください。 そして、印刷された内容をお知らせください。 多分、「レジストリ」が書き換えられたり何かが追加されたものと考えます。 「手動削除」ができるかどうか、確かめさせてはいただけませんか・・・。

next100s
質問者

補足

Win32.Winlagons.coと検出されて、以下のレジストリが表示されます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tcpsr 試しに手動で削除しても、再起動後は再度復活しています。 みなみの上記レジストリの中身のうち、固有のファイルらしきものを示している部分は ImagePath = \??\C:\WINDOWS\System32\drivers\tcpsr.sys →当該tcpsr.sysというファイルはありません。 あとは HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tcpsr\Enum の中に Root\LEGACY_TCPSR\0000 というのが書かれています。

すると、全ての回答が全文表示されます。
  • s-e-kun
  • ベストアンサー率33% (92/271)
回答No.2

こんにちは 過去に感染したウイルスはvomdoで間違いないでしょうか?vundoなら過去に 検体集めしていてvondoに感染テストした時にはかなり強烈なマルウェアーだったのを記憶しています、次から次へと新たなマルウェアーを呼び込むししまいにはお手上げで自分はリカバリーしました。 VondoやZolbやDelfはマルウェアーの更新頻度が高くて個人的なセキュリティーでのテストでは感染後のきちんとした駆除は難しい場合もあります。 個人的なテストではVondoに感染させた時はカスペルスキー、NOD32、PANDAではきちんとした駆除はできませんでした、 自分も他の質問者さんと同じくリカバリーを強くお勧めします。 一様以下が参考URLです。 http://ratan.dyndns.info/avast4/patio/patio.cgi?mode=view&no=379

next100s
質問者

補足

spybotの履歴を見たら、virtumonde でした。削除するのに苦労しました。spybotで検出された追加レジストリの中身を見たらそれらしいdllがあったのですが、これが起動時winlogon.exeに一緒に走っていて削除できず、processExplorerで該当箇所を削除してからファイルが消せました。それでvirtumondeは駆逐できたと思ったのですが、その間にいろんなマルウェアを引っ張り込んでたみたいです。  spybotをはじめ、いろんなアンチソフトを使って駆除したのですが、どうしてものこのwinlagonsだけは消せません。

すると、全ての回答が全文表示されます。
  • wamos101
  • ベストアンサー率25% (221/852)
回答No.1

こんにちは。 当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。 そのMalwareはDonwnloader系のTrojanのようです。 即刻ネットワークを物理的に遮断しリカバリ!!!!! ちなみに、そのIPアドレスはUSのAPS Telecomというネットワークのようです。

next100s
質問者

補足

最悪はやっぱりリカバリですよね。 元の環境に戻すのがメンドーで・・・

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. スパイウェア

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する