- ベストアンサー
Backdoor.Trojanが駆除できません
- Windows XPで使用中のZoneAlarmバージョン4.5.605.000とNorton AntiVirus 2002で、Backdoor.Trojanのウィルス警告が出ました。
- Norton AntiVirusで修復できないという表示が繰り返され、ウィルスの駆除ができません。
- Norton AntiVirusのスキャン結果では感染は見つかりませんでした。どうすればよいかご教示ください。
- toktom
- お礼率42% (3/7)
- ウィルス・マルウェア
- 回答数5
- ありがとう数1
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
現在のスキャンでみつからないということは、このファイルは既に削除されたのではないかと思います。ファイルがアクセスできない状況はいろいろありますが、スキャンした時点で実行されている場合もその一つです。ただ、再起動により、問題のファイルの処理が行われますから、表示だけが残ってしまうことがあります。表示を消去して再度スキャンしても見つからないようであれば問題ありません。
その他の回答 (4)
- nta
- ベストアンサー率78% (1525/1942)
StartPageDUの削除方法は参考URLをご覧ください。 新しいユーザでインターネットに接続したとたんに動作してしまうということですが、削除作業が不完全だったと考えるしかありません。 HKEY_LOCAL_MACHINE 以下の問題が解消されなかったのかなと考えています。 この種のトロイ木馬ウイルスについてはNAVが他のベンダーより一歩遅れをとっていることがユーザーに混乱を与えているのでsymantec社さんにはがんばっていただきたいです。
お礼
ntaさん、ありがとうございました。 ご指導いただいたとおりに新しいユーザでStartPageDUの削除を行い、再度Backdoor.Trojanの削除操作、再起動を行いましたが、やはり駆除できていませんでした。あとは最終手段のOS再インストールかなと思いますが、その前に別のQ&Aサイトがあると聞きましたので一度そちらで聞いてみようと思います。 本当に色々とご親切に教えていただきましてありがとうございました。
- nta
- ベストアンサー率78% (1525/1942)
新しいユーザを作られたと思いますが、このユーザでは問題のスパイウエアが復旧されてしまいますか。これで問題なければ以下の説明を参考にして下さい。 プロファイルを削除する場合には確かに「デスクトップ」等が削除され、最初に新しいアカウントでログインした時と同じ状態になってしまいます。そこでこれらの設定を残すことはスパイウエアを残すことになってしまうので、「マイドキュメント」以外は新しく作り直した方がよいであろうと考えます。マイドキュメントはデスクトップあるいはスタートメニュー上の「マイドキュメント」フォルダを右クリックしてプロパティを調べて下さい。これが C:\Documents and Settings\(ユーザ名)\ の下にあるとユーザプロファイルの削除でなくなってしまいます。、そうでなければリンク先のフォルダにあります。デスクトップの設定やIEのお気に入りなどは上記のフォルダの下にあります。ただし、これらのフォルダはフォルダオプションにて全てのファイルを表示するをチェックし、保護されたオペレーティングシステムを表示しないのチェックを外さなければ見ることができません。これらのフォルダをバックアップして、新しく作成したユーザの同じフォルダの中にコピーすれば復旧することができます。 ユーザプロファイルのバックアップでは上記のフォルダ内にある、NTUSER.DAT nutuser.ini 以外はコピー可能とされていますが、今回はその他の場所にも多数入り込んでいると考えています。
補足
ntaさん、いつもありがとうございます。 新しいユーザで立ち上げてANo.#3の補足で書いた削除操作をした後、再起動によりレジストリ値は変わりませんが、ネットに接続するとウィルス警告が表示され、レジストリ値も削除前の状態に戻ります。これではアカウントを再構築しても効果がないでしょうか。 それとマカフィーのフリースキャンで以下の感染ファイルが見つかりました。 ファイル名:C:\Documents and Settings\...\Temp\sp.html ウイルス名:StartPage-DU!htm ファイル名:C:\Documents and Settings\****\...\Temp\sp.htm ウイルス名:StartPage-DU!htm ファイル名:C:\Program Files\...\wmplayer.exe.tmp ウイルス名:StartPage-DU ファイル名:C:\WINDOWS\system32\pock.dll ウイルス名:StartPage-DU どう対処すれば良いでしょうか、ほんとうに何度も恐れ入ります。よろしくお願い致します。
- nta
- ベストアンサー率78% (1525/1942)
#1の補足に挙げられていたリンクの先に「システムの復元」を停止する方法が書かれています。 今回はユーザプロファイルにも感染しているのではないかと思います。新しい管理者ユーザを作成して、そのユーザでユーザプロファイルを削除して、再構築してください。ユーザプロファイルの削除は マイコンピュータ>プロパティ>ユーザプロファイル です。
補足
ntaさん、重ねてのご教示ありがとうございます。 以下のとおり行いましたが、同じでした。 1.「システムの復元」機能を停止 2.インターネット一時ファイルの削除 3. オンラインスキャンで検出したレジストリの値を削除 4.NAVでウイルス検索→何も検出しない 5.Webの設定のリセット[ホームページもリセットする] 6.Windows検索を用い、"SP.HTML"を検索→何も検出しない 7.再起動→ウィルス警告表示 「新しい管理者ユーザを作成して、そのユーザでユーザプロファイルを削除して、再構築する」を試みました。 1.スタート>コントロールパネル>ユーザーアカウント で、新たに「コンピュータの管理者」のアカウントを作成することはできました。 2.マイコンピュータのアイコンを右クリック>プロパティ>ユーザープロファイル の画面で、「このコンピュータに格納されているプロファイル」に表示されている元の名前のものを削除しようとしても、削除キーの表示が反転しており、できませんでした。 3.スタート>ログオフ>ユーザーの切り替え>新しく作成したアカウント で入った場合は、ユーザーアカウント画面から元のアカウントを削除できそうですが、次のことが気になってまだ削除できていません。 新しいアカウントで入った場合、元のアカウントで貯めたデータやソフトのアイコンがデスクトップ画面に表示されませんが、この操作を行ってもこれらのデータやソフトは今までどおり呼び出せるのでしょうか? ど素人の質問ですいません。何度も恐縮ですが、お教え願えれば幸いです。
- nta
- ベストアンサー率78% (1525/1942)
この削除を行うときに「システムの復元」機能を停止して実行していらっしゃいますでしょうか。また、インターネット一時ファイルの削除をおこなっていますでしょうか。
補足
ntaさん、ご回答ありがとうございました。 すいません、「システムの復元」機能を停止する方法がわかりません。どうかご教示お願い致します。 インターネット一時ファイルは、エクスプローラからTemporary Internet Files のフォルダの内容を削除し、インターネットオプションからインターネットのプロパティで「Cookieの削除」「ファイルの削除」「履歴のクリア」をした後で、レジストリの値を削除しました。 さらにhttp://higaitaisaku.web.infoseek.co.jp/appinitdlls.htmlで紹介されている「AppInit_DLLs」の削除、http://okweb.jp/kotaeru.php3?q=847196のANo.#9で紹介されている方法、セーフモード起動でのNorton AntiVirusの「コンピュータをスキャン」実行なども併せて行いましたが、効果なしです。
補足
ntadさん、ご回答ありがとうございました。 あれから他の方の質問回答を見つけて参考にさせていただき、色々やってみました。 シマンテック:セキュリティチェックhttp://www.symantec.com/region/jp/securitycheck/index.html をかけるとTROJ_STRTPAGE.IXに感染していると表示されました。↓ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_STRTPAGE.IX このなかで指示されたレジストリの値、 場所:HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html の値:CLSID、 場所:HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain の値:CLSID、 場所:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mainの値:・SearchAssistant ・Search Page ・Search Bar、 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Searchの ・SearchAssistant ・Search Page ・Search Bar をレジストリエディタで削除しました。 (このうち 場所:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mainの値:・SearchAssistant と 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Searchの ・Search Page ・Search Bar は見当たりませんでした。) このあとコンピュータを再起動し、Norton AntiVirusで再度ウイルス検索をしましたが、やはり検出せずでした。 ところが再度Internet Explorerを開いてからレジストリエディタを見ると、削除したはずのレジストリの値が削除前の状態に戻っています。 またコマンドプロンプトでシステムフォルダへ移動し、 cd /d %systemroot%\system32 からdirctlndm.dll と入力したところ 「‘dirctlndm.dll’は内部コマンドまたは外部コマンド、操作可能なプログラムまたはバッチファイルとして認識されていません。」と表示されます。 依然として状況は変わっていません。どうしたらよいものか途方にくれています。