- ベストアンサー
ntsys.exeがCPU使用率の80%近くを占めてしまっています。助けてください!
先日自宅PC(Win2000 5.00.2195 ServicePack4) にウィルス名「IRC Trojan」を発見しました。 SymantecAntiVirusで検疫に以下のファイルを 移動しました。 C:\WINNT\system32\ias\dat\config.bak \config.ini \language.ini その後やたらとPCが遅くなったのでタスクマネージャを 確認したとところ、ntsys.exeというプロセスがCPUの ほとんどを閉めてしまっている事がわかりました。 (全てのアプリケーションを起動していない状態です。) ネットでいろいろ検索してみたのですが、なにも見つけられずに困っています。 ※似た現象を引き起こすWindowsUpdateのMS04-011 (KB835732)もインストールされてません (ん?それはそれで問題なのか?) ntsys.exeをPC上で探してみたところ C:\WINNT\system32\ias\XDCCD\ntsys.exe というファイルが存在し、レジストリ上には HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYS\0000\ ないのServiceおよびControlフォルダに 種別REG_SZとしてntsysがみつかりました。 週末にどうしてもPCを使って仕事がしたいのでどなたかお詳しい方、助け舟をお願いいたします。
- dyamada
- お礼率50% (6/12)
- ウィルス・マルウェア
- 回答数6
- ありがとう数2
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
確かにバックドアタイプのものは、ファイルを仕掛ける(作る)方には反応することがありますが、作られたファイル自体はウィルスとして反応しないことがあります。クリーンインストールが安全ですが、無理な場合、サービス2つを無効にして、怪しいファイル(サービスのものと、iasフォルダ以下のものと、他にもあったらそのファイル)と、レジストリ上のものを全て削除して、様子を見られても良いと思います。(レジストリの本来不要なをものを全て見つけるのは難しいと思いますが、レジストリだけ残っていても特に問題ないと思います。)それから、Windwosで使うのはsvchost.exeですが、s"y"chost.exeではありません。それと、2000はどうか分かりませんが、iasフォルダ自体は、XPにもOSインストール時に存在します。(中身はias.mdbとdnary.mdbの2ファイルです。) また、ウィルスではなくワームである可能性もあります。どちらにしろ、オンラインスキャンでも良いですので、時間があれば色々な所でスキャンしてみると見つかるかもしれませんが、見つけるよりOSのクリーンインストールの方が早いかもしれません。削除を選ばれるならファイアーウォール対策はしかっりされた方が良いでしょう。(Symantec AntiVirus CorporateEditionには、外部からの不正アクセスを防ぐ機能は付いているようなので、ご自身側からの許可していないアクセス(送信)を防ぐ対策をしてください。) 結論になっていないようなので、まとめさせて頂きますが、やはりクリーンインストールが良いです。ですが自分の場合は削除で一旦様子を見ます。クリーンインストールは大事なデータがある場合など、できればしたくないものです。それでもクリーンインストールをおすすめするのは、削除するにしても簡単なものではないと思いますし、この先不具合が出ないとは限りません。また、不具合が出たときの対処など、周りの力をお借りしてでも良いですが、対応できる自信が無い場合、やはりクリーンインストールが良いのではないかと思われるからです。これはご自身の能力や、PCをどのような環境で使われているかでも変わってくると思いますので、無責任と思われるかもしれませんが、最終的な判断はご自身でなされてください。もちろん削除を選ばれる場合でも、その課程や、この先不具合が出たときなど、私ができる範囲であれば協力させて頂きます。
その他の回答 (5)
- thanks39
- ベストアンサー率61% (1189/1944)
すみません、補足です。寝ボケて頭が回りにくいことから書き忘れましたが、ntsysがレジストリのスタートアップにないことから、多分デバイスマネージャのプロセスには、SYSTEMで起動しているかもしれません。その場合、ntsysは何処に、PC起動時に起動するように登録されてあるの?ということになりますが、サービスにあるかもしれません。スタート→設定→管理ツール→サービスです。名前&説明が怪しいものを、右クリックしてプロパティを開けば、実行ファイルのパスの中にC:\WINNT\system32\ias\XDCCD\ntsys.exeのものがあるかもしれません。ウィルスだった場合、最終的にはファイルの削除と、サービスのプロパティでスタートアップの種類を無効にする必要があります。ウィルスかどうか、PCの稼働に必要ないか調べるだけなら、一時的にどちらかを無効(ファイルntsysを圧縮か、ntsysのサービスのスタートアップを無効)にするだけで構いません。
補足
ご返答ありがとうございます! 急な仕事が早朝から入り、今帰ってきました。 折角対応していただきながらご連絡できずもうしわけありませんでした。 とりあえずセーフモードで立ち上げタスクマネージャで確認したところntsys.exeは起動されていなかったのでファイルを圧縮して通常起動してみたところCPUの張りつきはなくなりました。 今確認してみたのですが、サービスに登録してある怪しいものは NT System Information Tracker 実行パス C:\WINNT\system32\ias\xdccd\sychost.exe System Manager Service 実行パス C:\WINNT\system32\ias\sychost.exe があります。(iasフォルダに関連するものはこれだけです。) またiasの直下に kill.bat kill.exe xdccoff.bat xdccoff2.bat XDCCON.BAT xdccon2.bat という怪しいファイルが存在します。 上記ファイルをSymantecAntiVirusで調べてみてもウィルスとしての検知はありませんでした。 トロイはバックドアタイプのものがあるとの事なのでやはりクリーンインストールするしかないのでしょうか? 宜しくお願いいたします。
- thanks39
- ベストアンサー率61% (1189/1944)
ノートン(Norton)=シマンテック(Symantec)と思ってください。シマンテックの会社の製品がノートン~であって、主に個人・小規模企業の製品がノートン~で、企業製品はシマンテック~になっているだけだと思いますので、まずシマンテック製品であるかどうかを調べてください。 それからセーフモードや、クリーンブート(通常起動ですがスタートアッププログラムやサービス、デバイスなどを必要最低限しか読み込まない起動の仕方)でPCを起動したとき、ntsys.exeが起動しない場合、圧縮しても大丈夫だと思います。セーフモードで起動するにはPC起動時F8です。クリーンブートは2000の場合、レジストリやサービスをいちいち変更しなければならなくて、面倒だと思いますので、セーフモードで確認するだけで良いと思います。 亜種はいっぱいあります。世界的に探せば同じものもあるかと思いますが、パス(場所)が違うことは良くあることですし、システム(Windows)が使っていると見せかけたり、システムフォルダにあるのは常習手段です。タスクマネージャのプロセスで、どのユーザーがntsys.exeを起動しているか分かりますか?自分のユーザー名でしたら、ますます怪しいです。(それ以外でもウィルスの可能性が拭えるわけではありません。)
- thanks39
- ベストアンサー率61% (1189/1944)
>ntsys.exeのプロセスを終了する試みは質問させていただく前にやってみたのですが、「操作を完了できませんでした。 >アクセスが拒否されました。」とのメッセージが出力され終了することができませんでした。 これがノートンであった場合、ノートンの設定でシマンテック製品を保護するにチェックが入っていれば、同じ表示が出ます。ノートンの設定を確認して、チェックが入っていれば外して、もう一度ノートンか確認して頂けますか?(ネットワーク接続は必ず外してください。) それからでも、ntsys.exeそのものを移動してから圧縮は遅くはありません。 トレンドマイクロにもntsys.exeの場所は違いますが、情報はありました。駆除方法も一応載ってますが、状況が違うかと思われます。もう少し探してみます。http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_XDCC.A&VSect=T
補足
こんな夜更けに…ってもう早朝ですが。。。本当にありがとうございます! まずノートンであるか?の答えですが、「SymantecAntiVirusCorporateEdition≠Norton」であればノートンはインストールされていません。(アプリケーションの追加と削除を確認しましたが、エントリーがありませんでした。) またご指摘のURLですが、微妙に名称が似ているので私も気になっていたのですが(XDCC.Aとありますが私のPC上はC:\WINNT\system32\ias\XDCCD\にntsys.exeがあります。)亜種なんでしょうか。。。ちなみにそのぺーじにあったADOBEA.EXEはレジストリ上に存在しませんでした。 ご指摘のURLをみるとXDCCAはsystem32の直下にntsys.exeを「作成」していると読めるのですが、その場合やはりntsys.exeを削除(圧縮)してみるのが近道なのかも知れないですね… 名称がシステムが使ってそうな名前なのでちょっと怖いですが。。。 よろしくお願いいたします。
- thanks39
- ベストアンサー率61% (1189/1944)
トロイの木馬のようですが…。レジストリ項目、及び本体ファイルを削除、もしくは圧縮して無効にされるのが宜しいと思います。 http://www.ahnlab.co.jp/troyinfo/tro_search_detail.asp?m_seq=594 レジストリのスタートアップ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run にも登録されてないか確認してください。
補足
ご返答ありがとうございます! 申し訳ありませんが、もう少し詳しく教えていただけないでしょうか…m(_ _)m まず、ご指摘のページに飛んでみたのですが詳細情報等の取得方法がわかりません。どうすれば駆除方法が見つかるのでしょうか…うぅ また上記のレジストリに関して確認してみたのですが、ntsysに関する登録は無いようです。これも本来はもっと別の登録を追う必要があるのでしょうか? ちなみにご指摘にある「レジストリ項目、及び本体ファイルを削除、もしくは圧縮」というのはntsys.exeそのものを圧縮してみては?という意味合いでよろしいでしょうか?Symantecのトロイのページを確認したのですが、ntsysに関する記載が見つからなかったので…(SymantecのHP上で検索をしてみたのですがHITなしでした。。。) ほんと申し訳ありません…
- asfdgdf
- ベストアンサー率33% (7/21)
ntsys.exeというのはノートンですよね?? ノートンでウイルスチェックをして安全だったら インターネットに接続していない状態でタスクマネージャーでntsys.exeを終了させてみてください。 それで少しはよくなるのでは?? 違ったウイルスソフトを使うことを勧めます。 またウイルスチェック時にはCPUを使うので、 それなのでは?
補足
返答ありがとうございます。 ウィルスソフトは会社単位でSymantecAntiVirusCorporateEdition8.00.9374に指定されており(これって 「=ノートン」なのでしょうか?) これを使うことは必須なんです。(泣) また、ネットワーク接続をはずしてタスクマネージャよりntsys.exeのプロセスを終了する試みは質問させていただく前にやってみたのですが、「操作を完了できませんでした。アクセスが拒否されました。」とのメッセージが出力され終了することができませんでした。(もちろんAdministratorでLoginしています。) 他になにか手立てはありますでしょうか? 宜しくお願いいたします。
関連するQ&A
- Temp2.exe tskmsgr.exeが表示される。
すみません。 NortonAntiVirusでスキャンしたら以下が表示されたのですが、駆除方法がわかりません。 ・圧縮ファイル tskmsgr.exe < C:\WINNT\system32\config\wint3ch.exe は ハッキングツール 脅威です。 ・圧縮ファイル temp2.exe < C:\WINNT\system32\config\wint3ch.exe は ハッキングツール 脅威です。 対処方法を教えいただけませんでしょうか。 宜しくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- explorer.exeが CPU使用率100%になってしまいます
CPU Pentium3 500Mhz メモリ 384MB OS WindowsXP Cドライブに20GのHDD Dドライブに120GのHDD Fドライブに120GのHDD なぜかDドライブにある50G分映像があるフォルダを開けると explorer.exeのCPU使用率が100%になってしまします タスクマネージャでプロセスを終了して再度 explorer.exeを復帰することで復旧できます ただ放っておいても 10分くらいで回復することもあります 症状は近いのですが 試した所↓ http://pcweb.mycom.co.jp/news/2003/06/03/23.html これではなさそうです ウィルスチェックするとWORM_NETSKY.Pが3つヒットしました この2,3日以上にウィルスメールが多かったのでその時では無いかと思ってるのですが このウィルスはどうもAVG-ANTI-virusでは削除できないみたいで symantecが無償で配布している駆除ツールFxNetsky.exeを試しましたが なぜか何度やっても途中でエラーがでて強制終了してしまします ちゃんと復元機能も停止しています 後セーフモードでも試しましたが同じでした 違うユーザーでXPをログインするとまったくこの 症状は出ません ただこの症状はこのvirusがヒットする以前にも たびたびあったのです PC起動時のタスクマネージャの プロセスの状態も表記しておきます explorer.exe Thclock.exe spiderNT.exe SpLnch.exe incdsrv.exe avgserv.exe LookMaill.exe LEXPPS.EXE svchost.exe svchost.exe CusmDesk.exe svchost.exe svchost.exe mrcb.exe lsass.exe services.exe winlogon.exe csrss.exe sdstat.exe smss.exe ctfmon.exe avgcc32.exe daemon.exe khooker.exe System System idle Process クリーンインストールしか無いのでしょうか? かなり困ってます アドバイスの方宜しくお願いします
- ベストアンサー
- Windows XP
- CPU使用率が100%(すみません長文です)
以前 http://oshiete1.goo.ne.jp/kotaeru.php3?q=86762で、質問させて頂き、 ウィルスに感染しているのが分かりましたので、OSを新規インストールし直して、 ノートンアンチウィルスをインストールしたのですが、PCが再起動されて立ち 上がった際に、”W32.Randex.gen"を検知しましたのメッセが表示されました。(ネットにはLiveUpdataする時に繋いだだけです。) その後、ウィルススキャンを実行すると、2件引っかかり ■W32.Spybot.Worm,自動的に削除しました,ファイル,N/A,N/A,*****,*****,"発生源源:C:\ProgramFiles\NortonAntiVirus\Quarantine\Incoming\AP0.exe,説明: ファイル:\ProgramFiles\NortonAntiVirus\Quarantine\Incoming\AP0.exe は W32.Spybot.Wormウイルスに感染しています。" ■W32.Randex.gen,検疫できませんでした,ファイル,N/A,N/A,*****,*****,"発生源: C:\WINNT\system32\navmgrd.exe,説明: ファイル C:\WINNT\system32\navmgrd.exe は W32.Randex.gen ウイルスに感染しています。" のレポートが作成されていました。それで、再度 OSを新規インストールした時点の バックアップを作成していたので、ドライブイメージで戻し、アンチウィルスはインストールしないで、 まず、WindowsUpdataを試みたのですが、またもやCPU使用率が100%となり満足に ネットが出来ず、Updataが出来ませんでした。この際、タスクマネージャーで確認すると ”svchost.exe"の数値が90台だったと思います。 そんな訳で、一体どうすればいいのか分からず 何か解決策があるのでしょうか?新規インストール直後にネットに繋いだと言えば、WinUpdataか ノートンのLiveUpdataだけなのですがウィルスに感染する事は あるのでしょうか? 長々となり乱文で誠に申し訳ありませんが 何方か宜しく御願い致します。
- ベストアンサー
- Windows NT・2000
- EMM386.EXEの"Dオプション"と、[386Enh]セクションの"DMABufferSize="の違い
どなたか教えて下さい。 1.config.sys内、EMM386.EXEの"Dオプション" 2.system.ini内、[386Enh]セクションの"DMABufferSize=" どちらもDMAのbuffer設定のようですが、何が違うんでしょうか?
- ベストアンサー
- Windows 95・98
- ウイルスが駆除できません。
ウイルスバスター2004(体験版)でスキャンしたところ、 ・BKDR_TJSPEC.B (感染元:C:\WINNT\system32\WLanSvc.exe) ・IRC_REGRUN.A (感染元:C:\WINNT\system32\Reg.RBO) ・IRC_GETPASS.A (感染元:C:\WINNT\system32\Parsing.RBO) が検出されましたが BKDR_TJSPEC.Bについては”隔離できません”、 残り二つについても”ウイルス駆除できません 隔離できません”でした。 手動で削除するにしても、していいファイルなのかどうかの判断がつかないので困っています。 ウイルスについてもデータベースで調べましたが、 やはり体験版ではなく、ちゃんと製品を購入しないと削除できないのでしょうか? 何かアドバイス頂けたらと思います。 説明不足かもしれませんが、どうぞよろしくお願いします。 OSは2000です。
- ベストアンサー
- ウィルス・マルウェア
- 回復コンソールでレジストリバイブのリカバリをしようとしたところsystemがありませんでした。なぜ・・・?
WINDOWS XPが起動しなくなってしまいました。 Cドライブに大切なファイルがあるため、回復コンソールでレジストリバイブ(configフォルダ内のsystem,software,sam,security,defaultの5ファイル)の置き換えをしようとしました(具体的には以下)。 (1)config内のレジストリファイルをtempフォルダにバックアップ copy c:\windows\system32\config\system c:\windows\temp\system.bak copy c:\windows\system32\config\software c:\windows\temp\software.bak copy c:\windows\system32\config\sam c:\windows\temp\sam.bak copy c:\windows\system32\config\security c:\windows\temp\security.bak copy c:\windows\system32\config\default c:\windows\temp\default.bak (2)config内のレジストリファイルを削除 delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default (3)repair内のレジストリファイルでconfigフォルダ内のファイルを置換 copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\secutiry c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default (3)でrepairフォルダ内のsystemファイルをコピーしようと思ったところ「ファイルが見つからない」とのエラーが出たのでdirコマンドで確認したところ、system.bakファイルはあるもののsystemファイルがありませんでした。 これを受けての質問が二点あります。 質問A:system.bakをコピーしても問題がないのか 質問B:system.bakをコピーしてはいけない場合、どのような対応策があるのか config, repair内の5ファイルのバージョンは以下のとおりです。 【config】 system 11/10/07 11:15a software 11/10/07 11:15a sam 11/06/07 02:42a security 11/10/07 11:15a default 11/06/07 02:42a 【repair】 system.bak 07/16/04 09:45a software 07/16/04 10:46a sam 07/16/04 10:46a security 07/16/04 10:46a default 11/13/03 03:20p ちなみに今回の障害で、すでにいくつかの手段で修復を試みました。しかしいずれも失敗、これでだめなら業者に頼んでデータを救出するしかない(ネットで調べると50,000円~100,000程かかりそうです)のかなぁ・・・とちょっと弱気になっています。 ・OS再起動 →何度も何度もリブートがかかるもののWINDOWS起動せず ・セルフモードで起動 →OS再起動時同様、WINDOWS起動せず ・回復コンソールでCHKDSK(オプションなし、p、rいずれも) →エラーが見つかり修復されたものの、再起動してもWINDOW起動せず
- ベストアンサー
- Windows系OS
- IE6の「更新」アイコンのリソースはどのEXE/DLLに同梱されていますか
XP(SP2)のエクスプローラや,IE6にある「更新」ボタンのアイコンリソースは どのEXE(ないしDLL)に同梱されていますか. あるソフトのアイコンをカスタマイズするのに個人的に借りたいのですが. http://www.mct.ne.jp/users/fjv/win2ktips/tips2k014.htm をみて, c:\WINNT\system32\compstui.dll c:\WINNT\system32\dsuiext.dll c:\WINNT\system32\shell32.dll C:\Program Files\Internet Explorer\iexplore.exe にはありませんでした.
- ベストアンサー
- Windows XP
- VBSでレジストリーの削除方法
VBScriptにより、サーバー上で単にレジストリーのキーごとすべて削除したいのですが、 キーがない場合そこでエラーになり終了してしまいます。 キーの有無にかかわらず、キーがある場合のみ削除するにはどのような スクリプトにしたらよいかアドバイスをください。 スクリプトはこんな感じです。 -------------------------------------------------------------------- Dim WshShell dim bKey Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegDelete "HKLM\Software\Tivoli\" WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\lcf\" WshShell.RegDelete "HKLM\System\ControlSet001\Enum\Root\Legacy_lcfd\" WshShell.RegDelete "HKLM\System\ControlSet001\Enum\Root\Legacy_TECWINADAPTER*\" WshShell.RegDelete "HKLM\System\ControlSet001\Services\lcfd\" WshShell.RegDelete "HKLM\System\ControlSet001\Services\lcfd\TECWINADAPTER*\" WScript.quit ----------------------------------------------------------------- UNIX Shell はわかるのですが、Windowsに関してはさっぱりわかりません(Object志向のものは苦手なもので・・・)。 もしこれらをUNIX Shell(b,c,k,Shell)でスクリプトを作成する場合、 ひとつひとつif文でファイルの有無を判定し、その結果を標準出力へ出し、その結果、「真」であれば(ファイルがある場合)そのキーを削除する・・・そして、スクリプトの結果を実行ユーザーのホームディレクトリー直下にファイルにして保存・・・というようにするのが一般的ですが、Windowsではどのように記述すればよいかご回答いただければ幸いです。 みなさんもお忙しいと思いますがよろしくお願いします。
- 締切済み
- その他(プログラミング・開発)
- 不安なので教えて頂きたいです
最近IPアドレスが勝手に変えられていたりしていて不安でOSをクリーンインストールしました(win2kです)。 ネットワークに繋げずにSP4までアップデートして ドライバ等をインストしてから、 セキュリティの為にノートンインターネットセキュリティをインストールしようとしたところ、 「インストールのシステムが壊れているか、ウィルスに感染しているおそれがあります。」 と出ました(インストできませんでした)。 他のフリーのウィルス検出ソフトも同じ警告が出てインストできませんでした。 オンラインのウィルスチェックをしたくてもネットにファイアウォールなしでつなぐのは怖いです。 どうすればよいでしょうか、レジストリやWINのファイルのことについては 全然詳しくないので見方などわからずどれがウィルスか見当がつきません。 教えて頂けると幸いです、どうぞよろしくお願い致します。 以下は HijackThis で出てきたログです。 Logfile of HijackThis v1.99.1 Scan saved at 23:40:58, on 2006/05/07 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\imejpmgr.exe C:\WINNT\system32\Internat.exe C:\WINNT\system32\conime.exe D:\b\dl\セキュリティ関連\hijackthis\HijackThis.exe
- 締切済み
- ウィルス・マルウェア
- イベントビューアの保存先変更
イベントビューアの各ログは、デフォルトで以下の場所に保存されていると思います。(Windows2000) アプリケーションログ C:\WINNT\system32\config\AppEvent.Evt セキュリティログ C:\WINNT\System32\config\SecEvent.Evt システムログ C:\WINNT\system32\config\SysEvent.Evt これを任意のドライブorフォルダに変更する方法を教えてください。
- ベストアンサー
- Windows系OS
お礼
回答ありがとうございます。 クリーンインストールを行うかどうかはしばらく検討してみます。ただ仕事でも使うPCであることからネット越しにファイルを盗られてしまう危険はできるだけ回避したいと考えています。(一応サイゲートのFireWallアプリは入れてあったのですが…) プライベートファイルも盗られたら恥ずかしいですし… (見られて困るものは有りませんが…笑) とりあえずNTSYSを圧縮してCPUの張りつきは収まったのでゆっくり検討したいとおもいます。 本当にありがとうございました!