- 締切済み
TROJ_DYFUCA.Xの駆除ができません。
ウィルスバスターオンラインウィルススキャンをしたところ、TROJ_DYFUCA.Xに感染していました。 http://okwave.jp/kotaeru.php3?q=1410266この記事と同じ内容で悩んでいます。 Windowsの<システムフォルダ>\REGSVR32 /U <手順1)の検索で発見されたファイルのパス名とファイル名> というのは、具体的に何を入力したらよいのでしょうか。 上記アドレスのANo.3をやってみた(「C:\\WINDOWS\Downloaded Program Files\MulDist.ocxのDllUnregisterServerは成功しました。」と出ました)のですが、ウィルススキャンするとTROJ_DYFUCA.Xに感染していると表示されます。 また、不正プログラムが追加したレジストリキーを削除しようとしても、レジストリエディタにそれらのキーがありません。 私はウィンドウズXPを使っていて、感染が発見されたのは C:\\WINDOWS\Downloaded Program Files\MulDist.ocx です。 長くなってしまいましたが、お願いします。切実です。
- nekoyagi12
- お礼率50% (4/8)
- ウィルス・マルウェア
- 回答数8
- ありがとう数8
- みんなの回答 (8)
- 専門家の回答
みんなの回答
- doki2
- ベストアンサー率51% (440/860)
Dyfucaには感染パターンが何種類もあります。 感染したサイトによってインストールされるファイルもレジストリもいろいろです。 質問者さんの例によく似たのが下記にあるので参考にしてみてください。 参考:「被害対策の部屋」での解析例 http://www.higaitaisaku.com/kakolog/srch.cgi?mode=srch&logs=all&page=80&no=9&word=--&andor=&KYO=&PAGE=20 ●HijackThisログ● O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB 説明: これが「Downloaded Program Files」フォルダにインストールされたActiveXコントロールの実例です。 「xbs.mtree.com/mt/dialers/fc/」に接続して、「MultiDistFC.CAB」というファイルをダウンロードします。 ●Spybot-S&DのFixesログ● ClimaxBucks.InternetOptimizer: Installer (ファイル, fixed) C:\WINDOWS\Downloaded Program Files\MulDist.inf ClimaxBucks.InternetOptimizer: Class ID (レジストリキー , fixed) HKEY_CLASSES_ROOT\CLSID\{BF279130-3F58-4E26-8043-CD5688A4D4C9} ClimaxBucks.InternetOptimizer: Class ID (レジストリキー , fixed) HKEY_CLASSES_ROOT\CLSID\{FC87A650-207D-4392-A6A1-82ADBC56FA64} ClimaxBucks.InternetOptimizer: Code storage database (レジストリキー , fixed) HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{FC87A650-207D-4392-A6A1-82ADBC56FA64} ClimaxBucks.InternetOptimizer: Interface (レジストリキー , fixed) HKEY_CLASSES_ROOT\Interface\{F332D106-2EF3-45C4-BAF2-0F739D76B26A} ClimaxBucks.InternetOptimizer: Interface (レジストリキー , fixed) HKEY_CLASSES_ROOT\Interface\{563E5DF0-2C1C-4513-BBF5-D380536BB8FC} ClimaxBucks.InternetOptimizer: Root class (レジストリキー , fixed) HKEY_CLASSES_ROOT\MULTIDIST.MultiDistCtrl.1 ClimaxBucks.InternetOptimizer: Type library (レジストリキー , fixed) HKEY_CLASSES_ROOT\TypeLib\{11B6F65D-7B8D-43CB-9AAE-17234A1DB33A} 説明: トレンドマイクロのサイトにあるレジストリキーを削除した例です。 「Spybot-S&D」でスキャンしてこれらの項目が検出されないのであれば、当初からこのキーがなかったのではないかと思います。 「Spybot-S&D」でスキャンしてみてください。 ☆Spybot1.4によるスパイウェアの除去方法 http://www.higaitaisaku.com/spybot2.html >この作業は改竄されたレジストリも消去するものなのでしょうか。 トレンドマイクロのオンラインスキャンは感染状況を表示するだけで修正はしてくれません。
- doki2
- ベストアンサー率51% (440/860)
No.5さんのアドバイスでもうまくいかない場合は「HijackThis」を使って見ましょう。 ☆HijackThisによるレポート出力と手動でのスパイウェア除去 http://www.higaitaisaku.com/hijackthis.html ただし、使い方がわからずに操作すると重大な支障が発生することがあります。 十分な知識なしに指示されたこと以外の操作をしないように注意してください。 とりあえず以下の作業をやってみてください。 1.「C:\HJT」と言うフォルダを作っておきます。 以下、このフォルダを「HJT」フォルダと呼ぶことにします。 2.下記サイトから「HijackThis」をダウンロードします。 http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1 3.ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。 4.「HijackThis.exe」を「HJT」フォルダに保存します。 以降このフォルダにログファイルやバックアップが保存されるようになります。 5.IEの画面をすべて閉じた後「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック 6.「HijackThis」の画面が開かれシステムをスキャンした結果と「hijackthis.log」の内容が表示されます。 7.また「hijackthis.log」と言うファイルが「HJT」フォルダに自動的に保存されます。 「hijackthis.log」に下記のような行があると思います。 「O16 -」で始まる行をすべてコピーして補足欄に貼り付けてください。
- X-ASTRAY
- ベストアンサー率35% (190/540)
ウイルス対策ソフトは使っていないのですか? オンラインウイルススキャンだけではウイルス(アドウェア)の削除はできません。 ウイルスに感染したファイルの削除はすでにしているのですか? ファイルの削除もせずにレジストリだけ削除しても意味がありません。 他にもインターネットの一時ファイルなど削除するものもありますが、削除したのでしょうか? まずはウイルス対策ソフト名を教えてください。
補足
ありがとうございました。 ウイルスに感染したファイルの削除に手間取っていました。 No.5さんのアドバイスで完了したと思います。 インターネットの一時ファイルなど削除は、No.4さんの回答を見て行いました。 ゲートロックを導入していれば良いと思っていたので、シマンテックのアンチウィルソフトは期限切れのままでした。 ですので、ソフトの更新サービスの延長キーを購入します。
- lonewolf
- ベストアンサー率48% (818/1682)
C:\WINDOWS\Downloaded Program Files のフォルダは特殊なシステム属性になっているため、エクスプローラではファイル名が見えません。 スタート →「ファイル名を指定して実行」で C:\WINDOWS\Downloaded Program Files\desktop.ini と入力して「OK」をクリックするとメモ帳が開きます。 [.ShellClassInfo] CLSID={88C6C381-2E85-11d0-94DE-444553540000} のようになっていますので、2行目の先頭に半角で;をつけて上書き保存してください。 これでエクスプローラからMulDist.cabを削除してください。 先ほどのdesktop.iniを書き換えしたままではDownloaded Program Filesの挙動がおかしくなるので先頭の;を 消して元に戻してから上書き保存してください。
補足
ありがとうございました。 アドバイスの通りに操作してみましたところ、オンラインウィルススキャンではTROJ_DYFUCA.Xが検出されませんでした。 言われたままにやるだけで何も調べないのはマナー違反だと思うのですが、 この作業は改竄されたレジストリも消去するものなのでしょうか。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDYFUCA%2EX&VSect=Sn で書かれているキーをRegistry Jumperで検索したのですが発見できませんでした。 これが正しい状態なのでしょうか。
- doki2
- ベストアンサー率51% (440/860)
ちょっと混乱気味のようですので整理してみます。 1.下記サイトのANo.3を参照しての作業ですが・・・ http://okwave.jp/kotaeru.php3?q=1410266 AAA.cd %windir%\system32 これは意味がありません。 このフォルダは「パスが通っている」といって、現在のDOSプロンプトがどこで開かれていてもこのフォルダは参照できるのでDOSプロンプトをわざわざ「C:\WINDOWS\System32>」にする必要がないのです。 BBB.Regsvr32 /U "C:\Documents and Settings\RAN\Local Settings\Temporary Internet Files\Content.IE5\AHQLE38F\MultiDistFC[1].CAB" "C:\Documents and Settings\RAN\Local Settings\Temporary Internet Files" このフォルダはインターネット一時ファイルを保存するフォルダです。 したがって、このフォルダにある「CAB」フォルダの使用状況を解除しても意味がありません。 同じやるならインターネット一時ファイルの削除を実行した方がいいでしょう。 ★インターネット一時ファイルの削除 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=9113 CCC. Regsvr32 /U "C:\WINDOWS\Downloaded Program Files\MulDist.ocx"であれば正しい処理になると思います。 2.「C:\WINDOWS\Downloaded Program Files\MulDist.ocxのDllUnregisterServerは成功しました。」 おそらく「Regsvr32 /U "C:\WINDOWS\Downloaded Program Files\MulDist.ocx"」を実行したのだと思います。 「DLL」、「OCX」ファイルを削除するには、「Regsvr32 /U 」というコマンドを使ってシステムから解除する必要があります。 と、ここまではいいのですが、このままではファイル削除の準備ができただけで、肝心のファイル削除を実行していません。 ファイルが削除できていないのですから、その後、ウィルススキャンをすると「TROJ_DYFUCA.Xに感染している」と表示されるのです。 3.「ActiveXコントロール」について "C:\WINDOWS\Downloaded Program Files"フォルダ このフォルダは特殊なフォルダで、エキスプローラでは「MulDist.ocx」は表示されません。多分、「MoneyTree Dialer」というのが表示されると思います。 これは外部のサイトに接続してファイルをインストールする「ActiveXコントロール」という特殊なシステムで、Windowsのセキュリティー対象から除外されています。 このため、該当する「ActiveXコントロール」を除外しない限り、このスパイウエア関連のファイルを駆除しても自動的に、かつ、無警告で復旧されてしまいます。 「ActiveXコントロール」は、通常、Windowsやウィルス対策ソフトのアップデートやオンラインウィルススキャンに使われるものですが、時々、スパイウエアやウィルスによって悪用されることがあります。 「ActiveXコントロール」がインストールされる時、必ず、Windowsの警告が出るのですが、警告の意味がわからず「はい」「Yes」「OK」等をクリックしたため、悪意のある「ActiveXコントロール」がインストールされてしまったと思います。 4.TROJ_DYFUCA.X MoneTreeというスパイウエアの一種のようです。 「ActiveXコントロール」(おそらく「MoneyTree Dialer」)と、それと「依存関係」にあるファイル(おそらく「MulDist.ocx」と「MulDist.inf」)を削除して駆除できると思いますが、「Ad-Aware SE」、「Spybot-S&D」が対応していると思いますので No.2さんのアドバイスに素直に従ってみてください。 5.レジストリの削除 トレンドマイクロのサイトによれば沢山のレジストリが改竄されているようです。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDYFUCA%2EX&VSect=Sn レジストリの操作には下記ソフトを使うと非常に便利です。 「Registry Jumper」 http://fine.tok2.com/home/heto2/0501RegJumper/001.htm その他わからないことがあれば追加質問してください。
お礼
丁寧にありがとうございます。 スキャンしてみたのですが、検出された中に「MulDist.ocx」「MulDist.inf」「MoneyTree Dialer」というのはありませんでした。 また、教えていただいた「Registry Jumper」を使って不正プログラムが追加したレジストリキーを削除しようと検索しても、それらのキーが発見できません。 もう一度ウィルススキャンしてみましたが、PCはまだTROJ_DYFUCA.Xに感染したままです。 http://www.higaitaisaku.com/general.html を読んで手動除去しようかと考えていますが、事態が悪化してしまわないか心配です。 よろしければ追加回答をお願いします。
- jim1
- ベストアンサー率58% (28/48)
ごめんなさい。あなたの調べられた情報が一番詳しいし、お勧めは↓のように自信がなければプロに・・・ということで私も同意です。 レジストリには問題の文字列がないのですよね? レジストリはやっかいなところでよく似た名前の物がいろいろあって、あやまって消してしまうとソフトやウィンドウズの動作、その後の対策に影響がでてしまうようなところです。REGEDITで実際に開いてみて再確認してください。 で、なぜ書き込みしたかというと、ちょっとディレクトリが気になりました。 c:\\.... \(バックスラッシュ)は2つで間違いないですか? ヒントにでもなれば・・・
お礼
ありがとうございました。 レジストリの消去は慎重に行いたいと思います。 確認してみましたが、\は二つでした。 打ち間違え、読み間違えのミスにも注意して作業をします。 私は勢いで打って間違っている事がよくあるので… 今日の深夜まで色々やってみて駄目なら明日にでも電話をしたいと思います。
- lonewolf
- ベストアンサー率48% (818/1682)
セーフモードでAd-Aware SE、Spybot S&D 1.4でスキャンしてみてください。 http://www.higaitaisaku.com/menu5.html
お礼
ありがとうございます。 Spybot S&D 1.4では何も検出されず、Ad-Aware SEではcookieのみ48件検出されました。
- violet430
- ベストアンサー率36% (27472/75001)
下記のページを見ても対処できないなら、お使いのウイルス対策ソフトのベンダーサポートへ相談するか、システム復元やリカバリで対処されることをお勧めします。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDYFUCA%2EX&VSect=Sn
お礼
ありがとうございます。 そのページの対処方法を見ながら作業していたのですが、手順3の Windowsの<システムフォルダ>\REGSVR32 /U <手順1)の検索で発見されたファイルのパス名とファイル名> というのに何を入力してよいのかわからずに書き込みました。 もう少し粘ってみて、出来ないようだったらサポセンに相談したいと思います。
関連するQ&A
- TROJ_DYFUCA.Xの削除
最近PCの調子(何処がどうという訳ではなかったのですが)が変だと思いオンラインスキャンをしてみると、TROJ_DYFUCA.Xというウィルスに感染していました。 トロイの木馬というものであり、手動で削除をしなければならないということもわかったのですが、ウィルスバスターのページの手順2:Windowsの<システムフォルダ>\REGSVR32 /U <手順1)の検索で発見されたファイルのパス名とファイル名> が理解できず消せない状況です。 実際にはどう打てばよいのでしょうか? お願いします。
- ベストアンサー
- ウィルス・マルウェア
- 下の質問とかぶるのですが・・・
トレンドマイクロセンターののオンラインウイルススキャンで C:\WINDOWS\Downloaded Program Files\UniDist.ocxがTROJ_DFC.Aに感染していました。 対処方法として感染されたファイルを削除すればよろしいみたいなのですが、C:\WINDOWS\Downloaded Program Filesの中を見てもないため削除できませんでした。 下の回答でスキャンと駆除を両方やれば良いと書いてありましたが、それはどのようにすれば良いのでしょうか? これ以外にも方法はあるんでしょうか? 先ほどから質問ばかりですいません。
- 締切済み
- ウィルス・マルウェア
- ウィルス駆除ができない
よろしくお願いします。 OSはWindowsXPでウィルスソフトはトレンドマイクロのウィルスバスター2006を使用しています。 ウィルススキャンをすると ウィルス名『TROJ_AGENT.AMV』、感染ファイルは『c:\WINDOWS\system32\fdconfig.dll』と表示されます。 検出だけされ『ウィルスを処理できません』と表示されており、どうやら手動で削除する必要があるようですが、fdconfig.dllは削除できませんし、セーフモードでコマンドプロンプトを使用して、『regsvr32 fdconfig.dll /u』と入力しても、『DllUnregisterServerは失敗しました。(エラー:0x80070005)』と表示されます。 fdconfig.dllに感染したウィルスを駆除する方法はないのでしょうか。 教えてください。お願いします。
- ベストアンサー
- ウィルス・マルウェア
- TROJ_…というウイルスに感染しました。
お恥ずかしい話なのですが…兄の使っているパソコンにアダルトサイトの請求画面がでたままになり、もしかしてウイルス感染しているのではないかと思い、ウイルスバスターオンラインスキャンを使用しました。そしたら案の定次のようなウイルスに感染していて… TROJ_BINJO.F TROJ_VB.UP TROJ_DYFUCA.DN ウイルスバスターでは駆除できないとのことで。 知識がないためオロオロするばかりです。対処法教えて下さい。
- 締切済み
- ウィルス・マルウェア
- 駆除の仕方がわかりません
ウィルスチェックをしたところ C:\WINDOWS\Downloaded Program Files\MediaAccX.dll は Adware.MediaPass に感染しています。 と出ました。 駆除の仕方を教えてください。
- 締切済み
- ウィルス・マルウェア
- 駆除できないファイル
Spybotで削除できなかったスパイウェアがあるのですがこれはどうしたらいいんでしょうか。 C\WINDOWS\Downloaded Program Files\CnsMinSV.dll C\WINDOWS\Downloaded Program Files\CnsMinEx.dll C\WINDOWS\Downloaded Program Files\CnsMin.dll この3個なんですが。 よろしくお願いします。
- ベストアンサー
- スパイウェア
- TROJ_DROPPER.MBが駆除できない
先日ウィルスのチェックをしたところ、 TROJ_DROPPER.MB が発見され、駆除処理したところ処理できないと表示されました。 場所は C\PROGRAM FILES\MSUPDATE\MSUPDATE.EXE と表示されました。 早速問題の場所を探したのですが、フォルダが見つかりません。。 つまりProgram filesの中にMsupdateが無いので、削除ができないのです・・ 削除/駆除の仕方分かる方がおられたら教えて下さい。
- ベストアンサー
- ウィルス・マルウェア
- ウィルスが駆除できなかった時は?
Windows98でウィルスバスターが入っています。 ウィルスを発見したという表示が出たの ですが、「駆除できませんでした」となっています。 C:\Program Files\Common Files\Microsoft Shared\MSinfo\msinfo.exe が、 [TROJ_STARTPAGEQ]というウィルスに感染して しまったようです。 この msinfo.exe は削除してしまっても 良いものでしょうか? どなたか助けて下さい。お願いします!
- ベストアンサー
- ウィルス・マルウェア
- 駆除方法を教えて下さい。
ネット検索中に 「TROJ DYFUCA.X」に感染してしました。 ウイルスバスターのリアルタイム検索で引っ掛りました。 確認すると、処理の欄が「Multi DistFC{1}.CABの結果を参照する」となっています。 全くの素人のため意味がわかりません。 どういうことなのでしょうか? また、何か駆除等する必要があるのでしょうか? 再度、ウイルスバスターでスキャンすると何も出ません。 素人判断事故の元なので、皆様のわかりやすい回答を宜しくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- TROJ_BANKER.Uが駆除できません。
OSはWindowsXPです。 ウィルスバスター2005を使っていますが、ウィルススキャンで、「TROJ_BANKER.U」が発見されましたが、「ウィルスを処理できません。」と出ました。 また、ウィルスログにも「隔離できません」と表示されています。 lsd_f3dllにいるらしく、クリックすると、「ウィルスが発見されました。」とメッセージが出ますが、上記のとおり駆除できていないようです。 どうしたらよいでしょう? どうぞよろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
補足
No.5さんのアドバイスで上手くいったと思います。 作業中、もし駄目でもNo.7さんのアドバイスがあると思うと心強かったです。 ありがとうございました。 No.5さんの補足質問にも書きましたが、この作業は改竄されたレジストリも消去するものなのでしょうか。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDYFUCA%2EX&VSect=Sn で書かれているキーをRegistry Jumperで検索したのですが発見できませんでした。