- ベストアンサー
この感染レジストリ削除は問題ないでしょうか?
アンチスパイウエアソフトでレイジストリの (x86)HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN#20131121 がTrojan.Agent/Genに感染していると出て削除しました。 (avast!では削除前にシステム検索をかけても無検出でした) (1) このレイジストリはどういうものででしょうか? (2) 削除しましたがシステムに悪影響を及ぼすものではないのでしょうか? (1)(2)について明快な回答をよろしくお願い致します。 OSはWin7のx64です。
- kiz777kiz
- お礼率97% (235/241)
- ウィルス・マルウェア
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
>(1) このレイジストリはどういうものででしょうか? 起動時のオートスタートプログラムを制御するレジストリです。 RUNのキー以下に「起動時にオートスタートする実行ファイル」を設定しておきます。 >(2) 削除しましたがシステムに悪影響を及ぼすものではないのでしょうか? 削除すると、ウィルスがオートスタートするようになっていたのがオートスタートしなくなるだけです。 ウィルス自身はコンピューター内に「まだ居る」ので、ユーザーが「ダブルクリックして、手動で実行しちゃう」と、ウィルスが活動します。
その他の回答 (3)
- smartpass
- ベストアンサー率33% (2/6)
こんにちは。 A1: システム起動時に作動させるプログラムのエントリ箇所です。 ちなみに、ログオン時に作動させる場合は最初の部分がHKCUになります。 A2: エントリが削除されると登録されていたプログラムは作動しないということです。通常、そういった対策ソフトでは本体プログラムの検出パスをログに残す筈ですけど。 ちなみに、「Gen」と付く場合はGeneric検出ですから「疑いあり」止まりです。確定までには至らない状態。 ※ ここのサイトに限らない話かと思いますが、基本的に通りすがりの人間が気ままに書いているだけですので、必ずしも十分な知識を持った人間が回答するとは限りませんからお気をつけ下さい。私はそれなりに勉強して習得してる人間ですから当たらないですが。
お礼
明瞭なご回答ありがとうございます。 とても参考になりました。 結局、気持ち悪いので市販のOSバックアップソフトでバックアップしてあった1ヶ月ほど前のOSイメージで元に戻しました。 (復元後は検出されず) ウイルスに関しては以前に海外の某サイトをavastがマルウエアサイトとしてブロックしたのですが完全にブロックできずにレジストリを書き変えられたのかも知れません。 一見防御できたように見えて実は感染しているという例は他のソフトでも時々あるようですしね。 > 「Gen」と付く場合はGeneric検出ですから「疑いあり」止まりです それは初めて知りました。 勉強になりました。
- chie65535
- ベストアンサー率43% (8517/19361)
追記。 なお「ウィルスがまだ居る」と言う結論になるのは「誰かがレジストリを書き換えた形跡があるのに、駆除の報告がない」からです。 「レジストリを書き換えた誰か」ってのは、ウィルス本体しか有り得ません。 ウィルス本体が動いて、活動開始したからこそ「レジストリが書き換えられた」のです。 そして「ウィルスを駆除しました」「ウィルスを隔離しました」って言う報告がまだなのであれば「レジストリを書き換えた『誰か』が、まだコンピュータ上に居残っている」と言う結論しか出てきません。 なので「スキャンに引っかかるかどうかを議論しても無意味」なんです。 スキャン結果がどうであれ、論理的には「まだウィルスが居る」と言う結論にしかならないのです。 「レジストリを書き換えるだけで、何もしないで自動消滅するようなウィルスなんか存在しない」ですからね。
お礼
再度のご回答ありがとうございます。 参考になりました。 結局、気持ち悪いので市販のOSバックアップソフトでバックアップしてあった1ヶ月ほど前のOSイメージで元に戻しました。 (復元後は検出されず) ウイルスに関しては以前に海外の某サイトをavastがマルウエアサイトとしてブロックしたのですが完全にブロックできずにレジストリを書き変えられたのかも知れません。 一見防御できたように見えて実は感染しているという例は他のソフトでも時々あるようですしね。
- chie65535
- ベストアンサー率43% (8517/19361)
>ここだけ謎ですね。 >だったらなぜavastでは何も検出されないのですかね? >avastは検出力はかなり高いはずですが… ウィルス本体が、パターンファイルに引っかからない「新種の亜種」なんじゃないかな? 「レジストリに書かれる内容」は、従来のパターンファイルで検知出来る内容だったとしても、ウィルス本体の方が「新種の亜種」なら、どんなウィルススキャンソフトを使っても無力ですからね。 ウィルス本体がパターンファイルに引っかかるなら「本体も隔離した」とか報告される筈だけど、そういう報告が無かったと言うのであれば「ウィルスがまだ居る」と言う結論にしかならないけど。 ウィルスの中には「名の知れたセキュリティーソフトから身を隠すウィルス」や「名の知れたセキュリティーソフトのパターンファイルに引っかからないようにコードが書き換えられた亜種」ってのが山のように存在するから >avastは検出力はかなり高いはずですが… という安心は禁物。ウィルス製作者は「どんなチェックも掻い潜る、完全ステルス型ウィルス」を目指してウィルス作ってるからね。
お礼
再度の詳しい解説ありがとうございます。
関連するQ&A
- ウイルス?削除する方法を探してます
c:\WINDOWS\system32\kdlgq.exe スタートアップに上記のコマンドが登録されていたため、スタートアップから除外しているのですが・・・ウイルスなのでしょうか? レジストリ HKLM\SOFTWARE\\Microsoft\Windows\CurrentVersion\Run以下に名前「c:\WINDOWS\system32\kdlgq」として削除しても再起動のたびに復元されてしまいます PandSoftwareのオンラインスキャンで検索した結果、Suspicious filesとして検出されました avastで検索しても引っかからないため、またネット内で検索しても引っかからないため処理に困っております
- ベストアンサー
- ウィルス・マルウェア
- ウイルスに感染したファイルが削除できません
trojan-gen.{Other}というウイルスに感染してしまってavastを使って削除したり移動したりしてもまた復活してしまうんです。どうしたらいいんでしょうか?
- 締切済み
- ウィルス・マルウェア
- crss.exeが削除できません
会社内の1台のPC(NT)でウイルスチェック(NortonAntivirus)をかけたら、 C:\WINNT\system32下に「crss.exe」(Trojan.Horse)が検出されました ノートンでクリーニング、削除、隔離しようと試みましたが失敗します (最近(?)の定義ファイルにアップデートのはず…です) いろいろと調べましたがレジストリ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CRSS や ~\RunServices\CRSS もありません 削除する方法を教えてください
- ベストアンサー
- ウィルス・マルウェア
- トロイの検出結果についての判断
先日新品のパソコンにオンラインのPest Scanをかけたところ Trojan "Trojan.Win32.FTP Attack" というトロイを検出しました。 感染ファイルの場所は key "hkey_local_machine \software\microsoft\windows\currentversion\run" value "reminder です。 誤検出の可能性もあるのではと思い、その時もここで質問させていただいたのですが、ほかのソフトでも試してみた方が良いという意見を多数いただいたので、マカフィのウィルススキャン、Avast4.6、シマンテックのオンラインチェック、スパイボットといったソフトで追試をしてみました。 スパイボット以外のソフトでは検出されなかったのですが、スパイボットではDSO Exploitを検出しました。場所も上記のpest scanが示しているのと同じファイルです。(念のためおききしますが、過去ログを読んだところスパイボットにはexploitを削除できないバグがあるとのことですが、この検出結果自体がバグということではないですよね?) となりますと、2つのソフトが検出していてあとのソフトは検出していないという結果になるのですが、こういった場合、トロイの感染について、どう判断を下すのが妥当だと思われますか?
- ベストアンサー
- ネットワーク
- ウイルスが削除できません
パソコンを立ち上げると必ずノートンのアンチウイルスが、「コンピューター上でウイルスを検出しました。」と警告を発します。 ウイルス名は「Trojan.Bookmarker.Gen]です。 何回実行しても削除できません。どうしたらよいのでしょうか?
- 締切済み
- ウィルス・マルウェア
- ウィルス感染したのですが
Avastのチェストに移動させたウィルスなのですが WINDOWSフォルダにあったものなので消去していいのか分からなくて困っています。 C:WINDPOWS\system32\b4fm.dllにWin32:Trojan-gen.{Other} なのですが、削除してしまっても大丈夫でしょうか?
- ベストアンサー
- ウィルス・マルウェア
- BHOとはどんなものでしょうか
windowsXPを使用しています。 wywebsearchというスパイウエアが検出されたので削除したら、起動するたびに「rundll」のエラーが出てきます。 色々と調べているとBHOというキーワードにぶつかりました。 このBHOというのはなくてはならないものでしょうか? つまりBHOのレジストリキーでは HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects と書いてあったので削除をすればいいのかと考えましたが、このレジストリは削除すると、ブラウザにどういった影響を与えるものでしょうか?別のPCで試しにレジストリを削除してもなにも変わった様子がないのですが・・・。 そもそもBHOとはどんなものでしょうか?
- ベストアンサー
- Windows XP
- VBSでレジストリーの削除方法
VBScriptにより、サーバー上で単にレジストリーのキーごとすべて削除したいのですが、 キーがない場合そこでエラーになり終了してしまいます。 キーの有無にかかわらず、キーがある場合のみ削除するにはどのような スクリプトにしたらよいかアドバイスをください。 スクリプトはこんな感じです。 -------------------------------------------------------------------- Dim WshShell dim bKey Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegDelete "HKLM\Software\Tivoli\" WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\lcf\" WshShell.RegDelete "HKLM\System\ControlSet001\Enum\Root\Legacy_lcfd\" WshShell.RegDelete "HKLM\System\ControlSet001\Enum\Root\Legacy_TECWINADAPTER*\" WshShell.RegDelete "HKLM\System\ControlSet001\Services\lcfd\" WshShell.RegDelete "HKLM\System\ControlSet001\Services\lcfd\TECWINADAPTER*\" WScript.quit ----------------------------------------------------------------- UNIX Shell はわかるのですが、Windowsに関してはさっぱりわかりません(Object志向のものは苦手なもので・・・)。 もしこれらをUNIX Shell(b,c,k,Shell)でスクリプトを作成する場合、 ひとつひとつif文でファイルの有無を判定し、その結果を標準出力へ出し、その結果、「真」であれば(ファイルがある場合)そのキーを削除する・・・そして、スクリプトの結果を実行ユーザーのホームディレクトリー直下にファイルにして保存・・・というようにするのが一般的ですが、Windowsではどのように記述すればよいかご回答いただければ幸いです。 みなさんもお忙しいと思いますがよろしくお願いします。
- 締切済み
- その他(プログラミング・開発)
- トロイの木馬のレジストリ
トレンドマイクロでウイルススキャンしたところ これに感染していました http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_DSNX.A トレンドマイクロではBKDR_DSNX.A シマンテックではBackdoor.DSNX.A(シマンテックでもスキャン済み) avast!では Win32 Trojan-Gen というそれぞれ違う表示がされているトロイの木馬です (そのサイトによってそれぞれウイルスの呼び名は違うそうですが) 不正プログラムを実行してしまったかどうかは分かりませんが レジストリの値を削除しないことには解決しないと思い、 上記のトレンドマイクロのサイトに書いてあったとおり、レジストリの HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run の中をのぞいてみても、問題の WinDSNX = <Windowsシステムフォルダ>\WIN<text>.exe という値が見当たらないのです 昨日レジストリをいじらずにとりあえず感染していたファイルを削除しただけですが、 また今日違うファイルからこのウイルスが検出されてしまう・・ という具合です。 どのレジストリを削除すればいいのかわからず途方にくれています ちなみにシマンテックサイトでは対処法が載っていませんでした トロイの木馬で検索したところ、リカバリを薦められる意見が多いのですが PCのデータをバックアップするのが困難(かなりデータが多い)なのと リカバリの知識もなく不安なので、できればリカバリせずに解決したいのです 当方の環境はWinXPのSP2で、アンチウイルスはavast!です あまりPCには精通していない初心者です すでにレジストリバックアップもしています 宜しくお願いします
- 締切済み
- ウィルス・マルウェア
- ウイルスが削除されても毎回検出される。
WINDOWS98を使っています。急にパソコンが立ちあがらなくなり、メーカーに問い合わせをしたらウイルス(スパイウエア?)といわれすぐにマカフィーのウイルスソフトを買ってインストールしました、 なかなかネットにつなぐことが出来なかったんですが電話でマカフィーのサポートの人に聞きながらなんとか除去できました。 その後今までとおり使えるのですが必ず最初にウイルスが検出されます。そのときは削除しましたと出ます。 でもまた電源を立ちあげると同じウイルスが検出され削除され・・・と何回も同じことが繰り返されます。 ウイルス名「トロイの木馬 Proxy-agent.k-gen」です。 イロイロ調べましたら出てこないのでこちらで質問させてください。 なにがいけないのでしょうか? どうぞよろしくお願いします
- ベストアンサー
- ウィルス・マルウェア
お礼
明快で分かりやすいご回答ありがとうございます。 >ウィルス自身はコンピューター内に「まだ居る」 ここだけ謎ですね。 だったらなぜavastでは何も検出されないのですかね? avastは検出力はかなり高いはずですが…