- 締切済み
パソコンが勝手にネットにアクセスしてます。
パソコン起動後、毎回 IPアドレス 216.195.61.148 2588番ポートへ勝手にアクセスしようとしているんです。その後、216.195.63.19:2716へも勝手にアクセスしているんです。以前vomdoウィルスに掛かってそれを外すのに苦労したんですが、spybot でサーチするとwin32.winlagonsっていうのが検出されます。それが駆除しても再起動するとまた検出されるんです。最初の質問と関係があるのでしょうか? vomdoを駆除してからは別にポップアップ広告が頻繁にでるとか、ネットが非常に遅いってことは無いんですが、どうにも気持ち悪いです。どなたか助けてください。
- みんなの回答 (7)
- 専門家の回答
みんなの回答
- shirou7400
- ベストアンサー率32% (16/49)
参考情報です。 winlagons で、検索すると、安心だネットがhitします。 アクセスすると、torjan一覧が、でます。1番下にスクロール。 削除できますの項目でクリ。有料ですが、自信ありげです。 F,W レジ改編禁止 復元削除 英語版ソフトでも、だめ! 健全な時のリカバリ作成で対処等 。 自分かってにインストールうながすの、にげるがかち ですね! 実害がないだけ、成功と、おもいますが。失礼しました。
- 川原 文月(@bungetsu)
- ベストアンサー率51% (834/1628)
No3.です。 「セーフモード」でレジストリの「削除」をしても同じですかねぇ。
お礼
なんとか解決できました。 ウィルスに感染したと思われる日から、新たに作成されたDLLファイルをwin\system32内から検索したところ「sxd17.dll」というのが見つかりました。試しにリネームしようとしたところ「使用中で利用できません。」とのメッセージ。 怪しいと思ったので、 レジストリの中から「sxd17」を検索したら出てきました。HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sxd17 ! 前述のtcpsrと同じように削除しても、再起動で再度復活してます。 で、ProcessExplorerで探すとSystemにSxd17.dllとだけ、詳細情報は一切なしで自動実行されていました。 しかし、virtumondeの時のようにProcessExplorerでSxd17プロセスだけ停止ができなかったので、CDからWindowsを起動するフリーソフト BartPEからWin起動CDを作成。CDからWINを起動して、該当ファイル「Sxd17.dll」を削除しました。 結果 再起動後、Tcrsr、Sxd17のレジストリの項目も復活していません。悩みの勝手にネットにアクセスすることは無くなりました。 spybotなどもろもろのアンチソフトでは一切 sxd17は検出されなかったのですが、一体なんだったのでしょうね? ともあれ、勝手にネットにアクセスしているという気持ち悪い事態は終結しましたので一安心です。 親身になってアドバイスいただきありがとうございました。
- 川原 文月(@bungetsu)
- ベストアンサー率51% (834/1628)
No3.です。 生意気に「いかにも出来そうに」書いてしまいました。 ごめんなさい。 すでにレジストリの「削除」等を実施されたようですね。 「削除」しても、また、出現する・・・。 私も、その後いろいろ情報を集めてみましたが、どれも「正解」らしきものは見つかりませんでした。 次のサイトのNo14.にあるように、リカバリしか手がないようですね。 http://ratan.dyndns.info/avast4/patio/patio.cgi?mode=view&no=379 >>Root\LEGACY_TCPSR\0000 これは「削除」しないでください。私のレジストリにも入っています。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
勝手にアクセスすることが悪意ある第三者にとって利益があること。 リカバリをためらっているのもやはり利益になりますね。 駆除お宅ではないので何をどのように削除したらいいのかわかりませんが、spybot以外の「ウイルス対策ソフト」が何も検出しないのは、不思議でならないですね。 新種のもので対応していないのか、無力にされているのか。 パソコン一台ならリカバリが基本ですよ。 http://www.f-secure.co.jp/v-descs/disinfestation.html ウイルス・スパイウェア対策の基本は、マイクロソフトの更新、ネットを使うソフトの更新、P2Pソフトを使わない、 それとブラウズのセキュリティとして firefoxにノースクリプト、サイトアドバイザ http://www.siteadvisor.com/download/ff.html https://addons.mozilla.org/ja/firefox/addon/722 メールですが、webメールで間に合うものはそれを使うことですね。 どうやってうまく感染したのかわかりませんが、感染原因となるようなことを取り除かない限りリカバリしても解決しないことは確かに言えるんですが。 読み流し程度に。
- 川原 文月(@bungetsu)
- ベストアンサー率51% (834/1628)
こんにちは。 これは「アドウェア」の一種に感染した可能性があります。 Spybotでスキャンをした後にwin32.winlagonsが検出されたら、そのまま「印刷」をしてみてください。 そして、印刷された内容をお知らせください。 多分、「レジストリ」が書き換えられたり何かが追加されたものと考えます。 「手動削除」ができるかどうか、確かめさせてはいただけませんか・・・。
補足
Win32.Winlagons.coと検出されて、以下のレジストリが表示されます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tcpsr 試しに手動で削除しても、再起動後は再度復活しています。 みなみの上記レジストリの中身のうち、固有のファイルらしきものを示している部分は ImagePath = \??\C:\WINDOWS\System32\drivers\tcpsr.sys →当該tcpsr.sysというファイルはありません。 あとは HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tcpsr\Enum の中に Root\LEGACY_TCPSR\0000 というのが書かれています。
- s-e-kun
- ベストアンサー率33% (92/271)
こんにちは 過去に感染したウイルスはvomdoで間違いないでしょうか?vundoなら過去に 検体集めしていてvondoに感染テストした時にはかなり強烈なマルウェアーだったのを記憶しています、次から次へと新たなマルウェアーを呼び込むししまいにはお手上げで自分はリカバリーしました。 VondoやZolbやDelfはマルウェアーの更新頻度が高くて個人的なセキュリティーでのテストでは感染後のきちんとした駆除は難しい場合もあります。 個人的なテストではVondoに感染させた時はカスペルスキー、NOD32、PANDAではきちんとした駆除はできませんでした、 自分も他の質問者さんと同じくリカバリーを強くお勧めします。 一様以下が参考URLです。 http://ratan.dyndns.info/avast4/patio/patio.cgi?mode=view&no=379
補足
spybotの履歴を見たら、virtumonde でした。削除するのに苦労しました。spybotで検出された追加レジストリの中身を見たらそれらしいdllがあったのですが、これが起動時winlogon.exeに一緒に走っていて削除できず、processExplorerで該当箇所を削除してからファイルが消せました。それでvirtumondeは駆逐できたと思ったのですが、その間にいろんなマルウェアを引っ張り込んでたみたいです。 spybotをはじめ、いろんなアンチソフトを使って駆除したのですが、どうしてものこのwinlagonsだけは消せません。
- wamos101
- ベストアンサー率25% (221/852)
こんにちは。 当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。 そのMalwareはDonwnloader系のTrojanのようです。 即刻ネットワークを物理的に遮断しリカバリ!!!!! ちなみに、そのIPアドレスはUSのAPS Telecomというネットワークのようです。
補足
最悪はやっぱりリカバリですよね。 元の環境に戻すのがメンドーで・・・
お礼
なんとかリカバリせずに削除することができました。 アドバイスありがとうございました。