- 締切済み
virtumondeの駆除
2、3日前からspybotS&Dがvirtumondeを検出するようになりました。 ComboFixとSuperAntiSpyware等を使いそれなりに駆除することごできたのですが、まだHijackThisのログにある O4 - HKLM\..\Run: [kuvilunugi] Rundll32.exe "C:\WINDOWS\system32\sunimuju.dll",s O4 - HKLM\..\Run: [6865a191] rundll32.exe "C:\WINDOWS\system32\sumttcvw.dll",b というファイルを駆除できまでん。どなたか駆除の仕方をご存知の方、助けてください。 使用しているOSはWindows XPです 発生する現象: Windowsを起動した時にsystem32\sunimuju.dllとsystem32\sumttcvw.dllの読み込み中にエラーが発生しましたとでます。 SpybotS&Dのスキャン中にVirtumonde.prxが検出される。 これ以外に特に何もおきません。また、SuperAntiSpywareでは何も検出されません。このspywareは一体何をしているのでしょうか? ProcessExplorerとレジストリから本体を消去しようとしたのですが、どのように本体を特定すればいいのか解らずできませんでした。 今現在、SmitFraudFixも試しましたが駆除できてません。VundoFixはバグがあると聞き使用していませんが、このspywareを駆除できるのでしょうか? どなたか駆除の方法を知っている方、回答をお願いします。
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- mama_ane
- ベストアンサー率69% (136/197)
>C:\WINDOWS\system32\wvcttmus.ini >C:\WINDOWS\system32\amesujaj.ini これは消してもOK >SSDPAPI.dll, RRCRT.4.dll, repdrvfs.dll, とntdll.dllは安全なのでしょうか? "RRCRT.4.dll"これ綴り間違っていませんか? OKWaveで出来る駆除のアドバイスはここまで #文字数制限があるのでログがすべて貼れない #ログ無しでは目隠し状態なので細かい判断出来ず中途半端なアドバイスしか出来ません "駆除"となると各種ログ(Combofix.txt含む)で判断するので先に貼った駆除専門サイトへ移動お勧めします 複合感染していなければ2~3回のやりとりで終わります http://bbs.higaitaisaku.com/cbbs.cgi 先のページにも↓って書いてあったでしょ? >#判断出来ない場合は"絶対"に無理せず「質問掲示板」へ投稿してください >このページ参考にしても症状が改善されない/他にも症状がある…などの場合は「質問掲示板」へ投稿して下さい。 ただこの際年末大掃除のつもりですっきりリカバリ(クリーンインストール)するのも良いかもしれませんよ
- mama_ane
- ベストアンサー率69% (136/197)
これね http://wiki.higaitaisaku.com/wiki.cgi?action=ID&b=JSnVBO5MRFK3mK8D-bGsIg もうこのタイプは流行って無いのだけど…今頃?って感じです >Windowsを起動した時にsystem32\sunimuju.dllとsystem32\sumttcvw.dllの読み込み中にエラーが発生しましたとでます。 sunimuju.dllとsumttcvw.dllの両ファイルは無い状態っぽいですね ファイルが残っていたら広告が出るなどの症状があるはずです こちらはHijackThisでFixしちゃっても良いです http://www.higaitaisaku.com/hijackthis.html#jyokyo >O4 - HKLM\..\Run: [kuvilunugi] Rundll32.exe "C:\WINDOWS\system32\sunimuju.dll",s >O4 - HKLM\..\Run: [6865a191] rundll32.exe "C:\WINDOWS\system32\sumttcvw.dll",b たぶん「駆除手順」にある"Combofix"一発でレジストリから残ファイルまで一掃してくれるはずです ところでSpybotやSuperAntiSpywareなどのフリーアンチスパイウェアばかり名前が出ていますが肝心のウイルス対策ソフトは使っていますか?
お礼
ご回答ありがとうございます。 しかしながら、ComboFixを今試してみたところその2つのファイルを消すことができませんでした。CFScriptに File:: C:\WINDOWS\system32\sunimuju.dll C:\WINDOWS\system32\sumttcvw.dll とやったのが悪かったのでしょうか? また、ComboFixのlogから怪しいファイルを色々消したのですが C:\WINDOWS\system32\wvcttmus.ini と C:\WINDOWS\system32\amesujaj.ini を消去してもよかったのでしょうか? セーフモードの状態で2つファイルをHijackThisで消去しても、すぐ復活してしまいました。また、Process ExplorerにでてくるSSDPAPI.dll, RRCRT.4.dll, repdrvfs.dll, とntdll.dllは安全なのでしょうか? ウイルス対策ソフトとしてはavastを使っています。
- 川原 文月(@bungetsu)
- ベストアンサー率51% (834/1628)
こんにちは。 Spybotをお使いのようですので、「スキャン」をしたあと、「削除せずに」「印刷」をクリックして、打ち出されたものを記載してもてください。 お力になれるかも?しれません。
お礼
ご回答ありがとうございます。 スキャンしたところVirtumonde.prx 2エントリTrojiansCと出ました。また、それの詳細のところにはそれぞれ(kuvilungi)と(6865a191)となっているので質問に書いた消せない2つのファイルがこのスパイウェアのようです。 質問に書き忘れたのですが、その2つのファイルをなんらかの方法で消そうとしてもファイルが存在しませんとでます。
お礼
ご回答有難うございました。 higaitaisakuのbbsで質問してみることにします。