- ベストアンサー
Backdoor.Trojanが削除できない
今よく話題にのぼっているこのウイルスに感染し、削除できません。Tempの削除やセーフモードでの対策、ノートンのアップデートも試みましたが、解決できません。 箇条書きにすると、 ・OSはWindows XP ・感染したオブジェクトは、C:\WINOWS\System32\windddd.dll ・以前はCドライブでこのオブジェクトを発見できたが、現在はなぜか隠しファイルをすべて表示しても見当たらない(ただし、ノートンのウイルススキャンでのファイル表示では見つかる) ・セーフモードでは、やはりこのオブジェクトは見当たらない(今度はノートンでも見当たらない) ・通常モードでは警告メッセージが消えない 特に3,4番目の混乱しています。どなたかアドバイスをいただけると幸いです。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
No.4 レジストリの調査 矢張りありましたね。 "AppInit_DLLs"="C:\\WINDOWS\\System32\\windddd.dll" この設定があるために削除したファイルが復活してしまうんです。 その上、通常の削除方法ではレジストリ設定自体が元に戻ってしまうので特殊な作業が必要です。 下記、参考にして、この行を削除してください。 被害対策の部屋・HKLMの「AppInit_DLLs」キーの削除 http://higaitaisaku.web.infoseek.co.jp/appinitdlls.html 削除後、パソコンを再起動して、もう一度、regAppInit.batを実行してこの設定がなくなっていることを確認してください。 その後、「強削」でC:\\WINDOWS\\System32\\windddd.dllを削除すれば退治できると思います。
その他の回答 (5)
- heto2
- ベストアンサー率43% (227/525)
No.3 Notepad.exe 日付とファイルサイズから下記のファイルが正規のものと思います。 C:\WINDOWS\notepad.exe ・・・65KB、2002/08/31 ☆直接起動 エキスプローラでこのファイルをクリックしてメモ帳が起動するかどうか調べてください。 ☆レジストリ調査 もし起動できない場合レジストリエディターで「notepad.exe.bak」で検索してください。 どこかで「notepad.exe」が「notepad.exe.bak」に書き換えられているのではないかと思います。 ★2004/07/01 「windddd.dll」と「notepad.exe.bak」の日付から2004/07/01に何かがあったと推定されます。 ★クリーンインストールと再セットアップ マニュアルでは「再セットアップ」になっているかもしれませんね。 データや追加アプリケーションが全て消えるので、必要に応じてバックアップや再インストールが必要です。
補足
直接起動> メモ帳がちゃんと起動しました。残りの2つはどうすればよいのでしょうか。 再セットアップ> そのときは十分気をつけようと思います。 2004/07/01> 実際にウイルスが来たのは7/18なんですが、その下準備のようなことをウイルスはするのでしょうか。
- heto2
- ベストアンサー率43% (227/525)
作業2.レジストリの調査 下記項目が削除しても復活されていると思います。 C:\WINDOWS\system32\windddd.dll BackDoor-CFB 有害なレジストリ設定を調査する必要があります。 「wordpad」を起動します。 C:"\Program Files\Windows NT\Accessories\wordpad.exe" 下記の行をコピーして貼り付けたのちregAppInit.batという名前でデスクトップに保存してください。 :~~~~~~regAppInit.batはじめ~~~~~~~ regedit/e regAppInit.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" C:"\Program Files\Windows NT\Accessories\wordpad.exe" regAppInit.txt :~~~~~~regAppInit.bat終わり~~~~~~~ デスクトップのregAppInit.batをダブルクリックして実行。 内容をコピーして「補足」に貼り付けてください。
補足
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\\WINDOWS\\System32\\windddd.dll" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 一緒に出てきたワードパッドの内容を貼り付けました。これでよろしいでしょうか。
- heto2
- ベストアンサー率43% (227/525)
作業1.メモ帳の件 さしあたり「wordpad」を使えると思います。 C:\Program Files\Windows NT\Accessories\wordpad.exe 結構、謎の多いスパイです。 どれが本物か確認する必要があります。 エキスプローラで下記ファイルを探してファイルサイズと作成日をレポートください。 (表示方法・詳細で表示されると思います。) C:\WINDOWS\notepad.exe.bak C:\WINDOWS\system32\notepad.exe.bak C:\WINDOWS\notepad.exe C:\WINDOWS\system32\notepad.exe ☆クリーンインストール ハードディスクをフォーマットしなおして購入時の状態に戻すことです。 購入後インストールしたソフトやデータは全て削除されます。 詳細はパソコン添付のマニュアルを参照ください。
補足
C:\WINDOWS\notepad.exe.bak ・・・25KB、2004/07/01 C:\WINDOWS\system32\notepad.exe.bak ・・・25KB、2004/07/01 C:\WINDOWS\notepad.exe ・・・65KB、2002/08/31 C:\WINDOWS\system32\notepad.exe ・・・見つかりませんでした。 ちなみに、C:\WINOWS\System32\windddd.dllは、56KB、2004/07/01 でした。 クリーンインストール4とは、再セットアップと考えてよろしいのでしょうか。
- heto2
- ベストアンサー率43% (227/525)
>特に3,4番目の混乱しています。 削除しても、次回パソコンを再起動すると復活する種類のウィルスに感染しています。 どんな操作をしたかでなく、いつ、その操作をしたのかが問題です。 といわれれば、心当たりがあると思います。そうです、ゾンビウィルスです。 1.Norton AntiVirus 2003 ウイルススキャン >(ノートンで)新たに行ったスキャンでは何も検出されませんでした。 C:\WINDOWS\system32\windddd.dll 復活前の話じゃないでしょうか?もう一度調べてください。 エキスプローラでも確認できると思います。 2.トレンドマイクロ インターネット一時ファイルに残された残骸です。 後述の「インターネット一時ファイルの削除」を実行すれば検出されないと思います。 3.マカフィー インターネット一時ファイルに残された残骸が沢山ありますが、少なくとも2種類のウィルスが見つかっています。 AAA.BackDoor-CFB BBB.StartPage-DU 4.現在の症状 現在の状態を詳しくレポートください。 AAA.インターネットエキスプローラのスタートページの状態 多分、外国のページに飛ばされていると思います。 その場合、そのページのURL BBB.メモ帳とメディアプレーヤーが使えるかどうか。 CCC.その他気が付いたことなど DDD.「インターネット一時ファイルの削除」後のマカフィーでのスキャン結果。 5.今後の方針 レジストリの編集等、かなり面倒で危険な作業が必要です。 頑張って挑戦するか、あきらめてクリーンインストールするか検討ください。 ★インターネット一時ファイルの削除 1.IEのメニューで「ツール」「インターネットオプション」をクリック 2.「全般」画面で「インターネット一時ファイル」の「ファイルの削除」をクリック 3.「ファイルの削除」画面で「すべてのオフライン コンテンツを削除する(&D)」にチェックを入れて「OK」 ★ウィルススキャン その後もう一度オンラインスキャンを実行してみてください。
補足
AAA:スタートページは「about:blank」で真っ白でしたが、これはスパイウェアだと思います。ウイルスに感染する前に、スパイウェアにもかかっていたためです。こちらは、スパイウェア削除を行ってからは通常のページが表示されています。 BBB:メモ帳が使えなくなっています。「関連付けるプログラムの設定エラー」が表示されます。メディアプレーヤーについては、問題ありません。 CCC:そのほかについては、今までどおりです。 DDD:C:\Documents and Settings\...\Temp\sp.html StartPage-DU!htm C:\Documents and Settings\智子\...\Temp\sp.html StartPage-DU!htm C:\Program Files\...\wmplayer.exe.bak StartPage-DU C:\System Volume Information\...\A0008645.dll StartPage-DU C:\System Volume Information\...\A0008880.dll StartPage-DU C:\System Volume Information\...\A0009766.dll StartPage-DU C:\System Volume Information\...\A0009771.dll StartPage-DU C:\WINDOWS\notepad.exe.bak StartPage-DU C:\WINDOWS\system32\notepad.exe.bak StartPage-DU C:\WINDOWS\system32\windddd.dll BackDoor-CFB C:\WINDOWS\Temp\sp.html StartPage-DU!htm 11個検出されました。ちなみに、このパソコンは、家族ごとにそれぞれページを持てる機種(デスクトップページ)で、現在3つのページを使っています(すべて、管理者アカウント)。一時ファイルについては、2ページまでは削除しましたが、もう1ページをし忘れたため、今回もtemp系のところにウイルスが検出したのだと思います。 レジストリ関係については、慎重に考えたいと思います。クリーンインストールとは、設定をはじめからやり直すこと、と考えてよろしいのでしょうか。
- heto2
- ベストアンサー率43% (227/525)
SymantecのBackdoor.Trojanについての情報は古くて役に立ちそうに思えません。 発見日: 1998年1月22日 (米国時間) 最終更新日: 2002年1月24日 11:12 (米国時間) http://www.symantec.com/region/jp/sarcj/data/b/backdoor.trojan.html そのせいかNortonユーザーでBackdoor.Trojanの感染者が解決できず困っておられるケースが多いようです。 もっと情報を集める必要があると思いますので下記ご協力ください。 1.Nortonの感染ファイル情報 取り敢えずNortonで検出された感染ファイルを補足説明に書き込んでください。 2.トレンドマイクロ・オンラインスキャン http://www.trendmicro.co.jp/hcall/index.asp 検出された情報をレポートください。 3.マカフィー・オンラインスキャン http://www.nai.com/japan/mcafee/home/freescan.asp 検出された情報をレポートください。
補足
ご返事ありがとうございます。早速試しました。 1.Norton AntiVirus 2003 ウイルススキャン C:\WINOWS\System32\windddd.dll 現在警告に出ているファイルです。新たに行ったスキャンでは何も検出されませんでした。 2.トレンドマイクロ C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\3ASJN5OP\nochest[1].jar*Dummy.class* C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\672ZALMJ\Dummy[1].class の2個が検出されました。 3.マカフィー C:\Documents and Settings\...\0NVZAK19\20646[1] Exploit-ObjectData.gen C:\Documents and Settings\...\nocheat[1].jar Exploit-ByteVerify C:\Documents and Settings\...\nocheat[1].jar Exploit-ByteVerify C:\Documents and Settings\...\Dummy[1].class Exploit-ByteVerify C:\Documents and Settings\...\index2[1].php JS/Exploit-DialogArg.gen C:\Documents and Settings\...\index2[1].php Exploit-MhtRedir.gen C:\Documents and Settings\...\index2[1].php JS/Exploit-DialogArg.gen C:\Documents and Settings\...\index2[1].php Exploit-MhtRedir.gen C:\Documents and Settings\...\frodo[1].htm Exploit-MhtRedir.gen C:\Documents and Settings\...\clk[1].htm Exploit-MhtRedir.gen C:\Documents and Settings\...\frodo[1].htm Exploit-MhtRedir.gen C:\Documents and Settings\...\UDBKT83A\p[1].htm JS/Exploit-DialogArg.b C:\Documents and Settings\智子\...\Temp\sp.html StartPage-DU!htm C:\Program Files\...\wmplayer.exe.bak StartPage-DU C:\RECYCLER\...\Dc47.html StartPage-DU!htm C:\System Volume Information\...\A0008645.dll StartPage-DU C:\System Volume Information\...\A0008880.dll StartPage-DU C:\System Volume Information\...\A0009766.dll StartPage-DU C:\WINDOWS\notepad.exe.bak StartPage-DU C:\WINDOWS\system32\bjdd.dll StartPage-DU C:\WINDOWS\system32\notepad.exe.bak StartPage-DU C:\WINDOWS\system32\windddd.dll BackDoor-CFB C:\WINDOWS\Temp\sp.html StartPage-DU!htm の23個が検出されました。
お礼
上記の通り行った結果、「ウイルスは自動的に削除されました」という表示が出て、以後警告メッセージは出なくなりました。再セットアップをしなくても済みそうです。 これまでの丁寧なアドバイス、本当にありがとうございました。とても分かりやすかったです。今後もこれを参考にしていきたいと思います。