- ベストアンサー
トロイでしょうか?よくわからないプログラム
普通にネットサーフィンしていると、サイトが重いわけでもないのに急にCPU使用率が高く(50%ぐらい)なったのでタスクマネージャでプロセスを見てみると、rlvknlg.exeというプログラムがCPUの40%ほどを使用していました。調べた結果、アドウェアとかスパイウェアのようなものみたいでした。C:\WINDOWS\system32にこのプログラムがあるのですが、そのままファイルを削除すれば良いでしょうか?C:\WINDOWS\Prefetchというフォルダにも拡張子がpfのファイルがあるのですが、どうすればいいかわかりません。 どなたか教えてください。 WindowsXP SP2 Home Editionで、 ウイルスバスター2005を入れています(リアルタイム検索も実行中)。
- tmnr
- お礼率58% (31/53)
- ウィルス・マルウェア
- 回答数6
- ありがとう数8
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
「HijackThis」のログに何も表示されないのであればウイルスバスターが駆除してくれたのではないかと思います。 特に不審な動作がないようであれば問題ないと思います。 ★お尋ねのレジストリキーの件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion のサブキーに {e88db089-ec39-485c-86c0-984f216adb7c}というのがあり レジストリエディターの画面右側に下記のように表示されているのだと思います。 名前 種類 データ (既定) DisplayName REG_SZ RelevantKnowledge UninistallString REG_SZ c:\windows\system32\rlvknlg.exe-bootremove-uninst:RelevanKnowledge これはアンインストール情報というものでスパイウエアのポンカスです。 残っていても、これだけでは動作しませんが邪魔者は消し去ったほうがいいと思います。 レジストリエディターでサブキー{e88db089-ec39-485c-86c0-984f216adb7c}を 右クリックして表示されるメニューで「削除」を選択してください。 以下、参考事項です。 ★参考1 レジストリの「エキスポート」 レジストリキーを削除/編集には危険が伴います。 万一の場合に備えて、レジストリをバックアップする習慣をつけるのがいいでしょう。 レジストリエディターで削除/編集するキーを右クリックして表示されるメニューで「エキスポート」を選択してください。 ★参考2「Registry_Jumper」 レジストリキーの検索には「Registry_Jumper」というツールが非常に便利です。 下記ページ参考にしてください。 http://fine.tok2.com/home/heto2/0501RegJumper/001.htm ★参考3 「RegSrch.vbs」 レジストリの検索には下記ツールが非常に便利です。 レジストリエディターのように何度も「F3」キーを押す必要がありません。 下記サイトで「Registry Search Tool」をクリックし、表示される画面の右端のダウンロードボタンをクリックしてください。 「RegSrch.vbs」 http://www.billsway.com/vbspage/ ダウンロードされるファイル「RegSrch.zip」を解凍すると「RegSrch.vbs」というスクリプトファイルが出てきます。 「RegSrch.vbs」をダブルクリックするとファイル名の入力画面になります。 たとえば「Notepad.exe」と入力して「OK」 直ちに検索が始まり、終わるとWordPadの画面が開かれ「Notepad.exe」関連のレジストリ設定が一覧表示されます。 そのまま終了するとデータはすべて消滅しますので必要に応じてファイルに保存してください。 検出結果を拡張子「REG」で保存しておくとレジストリのバックアップにもなります。
その他の回答 (5)
- doki2
- ベストアンサー率51% (440/860)
下記のウィルスに感染されたのではないかと思います。 Trojan horse IRC/Backdoor.SdBot.MYX http://forum.tweakxp.com/forum/Topic182782-29-1.aspx#bm182784 「HijackThis」を使われることをを勧めします。 ☆HijackThisによるレポート出力と手動でのスパイウェア除去 http://www.higaitaisaku.com/hijackthis.html ただし、使い方がわからずに操作すると重大な支障が発生することがあります。 十分な知識なしに指示されたこと以外の操作をしないように注意してください。 とりあえず以下の作業をやってみてください。 1.「C:\HJT」と言うフォルダを作っておきます。 以下、このフォルダを「HJT」フォルダと呼ぶことにします。 2.下記サイトから「HijackThis」をダウンロードします。 http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1 3.ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。 4.「HijackThis.exe」を「HJT」フォルダに保存します。 以降このフォルダにログファイルやバックアップが保存されるようになります。 5.IEの画面をすべて閉じた後「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック 6.「HijackThis」の画面が開かれシステムをスキャンした結果が一覧表示されます。 7.また「hijackthis.log」と言うファイルが「HJT」フォルダに自動的に保存されます。 「HijackThis」の画面に下記のような行があると思います。 O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe O4 - HKLM\..\Run: [MsMovies] C:\Program Files\MsMovies\MsMovies.exe /auto O16 - DPF: {CA356D79-679B-4B4C-8E49-5AF97014F4C1} - http://files-pl.starware.com/installs/3.3.0.200508081752/ReleaseProduction/323/S tarware_323.cab 8.その行の左端のチェックボックスにチェックを入れ画面下の「Fix checked」をクリック 9.「HijackThis」を終了してパソコンをセーフモードで再起動 参考:Windowsをセーフモードで起動する http://www.higaitaisaku.com/safemode.html 10.下記のファイルが残っていればエキスプローラで削除してください。 C:\Program Files\SurfAccuracy C:\Program Files\Power Scan C:\Program Files\MsMovies c:\windows\system32\rlvknlg.exe 11.パソコンを通常モードで再起動してお使いのウィルス対策ソフトでスキャンしてみてください。 12.C:\WINDOWS\Prefetchというフォルダについては下記ツールをダウンロードして実行してください CleanUp! www.stevengould.org/downloads/cleanup/CleanUp40.exe 直接リンクです。IEのアドレス欄にコピペしてください。 CleanUp!の使い方 「CleanUp!」を起動して画面右側の「Option」ボタンをクリック 下記の項目にチェックを入れ「OK」 Empty Recycle Bins Delete Cookies Delete Prefetch files Cleanup! All Users 画面右側の「Cleanup!」ボタンをクリック 作業終了後、再起動するかどうかの画面では「いいえ」を選択。 わからない点があれば追加質問してください。
お礼
わかりやすい回答をありがとうございます。 報告が遅れてしまったので、今の状況を述べますと、 この回答を見る前に セーフモードでなく system32にあるrlvknlg.exeを削除 ↓ Prefetchにあるrlvknlg関係のファイルを削除 で、今この状態です。 doki2さんがおっしゃったHijackThisでログを見てみると、指摘された行がひとつも見つかりませんでした(消した後だから?)。 このあとどうすればいいかわかりません。 regeditでrlvknlgを検索すると、HKEY_MACHINE→SOFTWARE→Microsoft→Windows→CurrentVersion→Uninstall→{e88db089-ec39-485c-86c0-984f216adb7c}に(既定)と書かれたものの他、 名前 種類 データ DisplayName REG_SZ RelevantKnowledge UninistallString REG_SZ c:\windows\system32\rlvknlg.exe-bootremove-uninst:RelevanKnowledge というものが見つかりました。両方削除したほうがいいでしょうか? あと、同じくHKEY_MACHINE内のRunには、消した後だからでしょうかrlvknlg関係のものがありません。
- rcappuccin
- ベストアンサー率53% (378/707)
PC起動時のセーフモードのキー操作がわからないなら、 下記ページの方法をお試しください!
- lonewolf
- ベストアンサー率48% (818/1682)
トロイの中でも悪質な Backdoor です。 http://www.shareedge.com/modules/appdb/index.php?op=desc&id=2451 C:\WINDOWS\PrefetchというフォルダはOSやアプリケーションのファイルを先読みして高速化するためのファイルがあるフォルダです。削除してください。 Windowsをセーフモードで起動してください。 rlvknlg.exeを削除。できなければ強削を使って削除してください。 http://www.vector.co.jp/soft/win95/util/se298257.html スタート→「ファイル名を指定して実行」で「regedit」と入力してレジストリエディタ」を起動します。 HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run とたどり 画面右側で、"rlvknlg.exe" に関連する値を削除します。 見つからなければ「編集」→「検索」で探してみてください。
お礼
回答ありがとうございます。 セーフモードで起動とのことですが、BTOのパソコンで起動方法がわからないので .Prefetchフォルダの関係のあるファイルを削除 .rlvknlg.exeを削除直接(タスクマネージャでプロセスを終了後) .レジストリから関連するものを削除 という手順でよろしいでしょうか? Ad-Awareでの検索結果、クッキーと履歴?(MRU List)だけしか検出されませんでした
補足
F8でセーフモード起動をしようとしましたが、すべて英語で「Please select boot device:」と表示され、USBだとかDVDRAMだとか書いてあってよくわからないので、とりあえずHDDのようなものを選択したらいつもと同じ感じで起動しました。恐らくセーフモードではないと思います... とりあえず、LANケーブルを引っこ抜いてタスクマネージャを起動すると、rlvknlg.exeが起動していませんでした。(レジストリだとかファイルを削除していませんが) それで、LANケーブルを接続してみたらrlvknlg.exeがすぐに起動しました。その後プロセスを終了させて、今の状態に至ります。
- nnfuji
- ベストアンサー率28% (200/701)
rlvknlg.exeでWebを検索したら、どうやらAdwareまたはスパイウェアのようです。 タスクマネージャでプロセスを殺し、ファイル削除した方が良さそうです。 また、SpybotとAd-aware等でスキャンした方がよいでしょう。
お礼
早速ありがとうございます。 今、ウイルスバスターがリアルタイム検索でTROJ UPCHAN.Bというものを検出しました..... 詳細をクリックしたのですが、情報がないみたいで、検索サイトで調べてTROJ UPCHAN.Aなら見つかりました。どうやらデスクトップのスクリーンショットを外部に送信するようでorz 外部に送信されたんでしょうか? (ちなみにAd-awareで今だスキャン中です)
- namune
- ベストアンサー率19% (14/73)
Ad-Awareをインストールすればスパイウェアを除去できます。 まず、windows標準のアプリケーション削除機能で削除できるかどうかを試して、できない場合、Ad-Awareで削除してください。 >そのままファイルを削除すれば良いでしょうか? 勝手に実行ファイルを削除すると、システムが不具合を引き起こします。
お礼
早速ありがとうございます。 Ad-Aware&ウイルスバスターで今スキャン中です...
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
毎回わかりやすい説明ありがとうございます。 {e88db089-ec39-485c-86c0-984f216adb7c}を 削除をしました。 おかげ様で不安定だったのが改善されました。 本当にありがとうございました。