• ベストアンサー

rdriv.sysが起動のたびに作成される

ROOTKITに感染しました trendの指示書とおりにレジストリーのキーservices/rdrivを 削除し winNT/system32/rdriv.sysも削除しましたが 再起動すると起動時にrdriv.sysが作成されてしまいます どうしたらいいのでしょうか windowsNT2000です

質問者が選んだベストアンサー

  • ベストアンサー
  • doki2
  • ベストアンサー率51% (440/860)
回答No.2

>trendの指示書とおりにレジストリーのキーservices/rdrivを削除し winNT/system32/rdriv.sysも削除しましたが 常識的には、該当するサービスを停止した後、「Rdriv.sys」を削除できれば駆除できそうに思います。 ところが昨年暮れあたりから、「Rdriv.sys」関連で、さまざまなサービスを起動する例が報告されています。 「AVast!」のフォーラムで面白い記事を見つけました。英語ですが興味のある方は参照してみてください。 http://forum.avast.com/index.php?PHPSESSID=f78a0817db6a102b78c03c8bb10ba7a4&action=profile;u=16118;sa=showPosts ☆5 viruses and worms/viruses and worms/Re:rdriv.sys on:October 07, 2005 「HijackThis」のログで検出されるものの例 O23 - Service: iTunes Music Service (iTunesMusic) - Apple - C:\WINDOWS\iTunesMusic.exe O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe O23 - Service: Windows Management Construct (winmgmc) - Unknown owner - C:\WINDOWS\winmgc.exe O23 - Service: Windows Update Service - Unknown owner - C:\WINDOWS\pwnsvc.exe O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe O23 - Service: AOL Instant Messenger - Unknown owner - C:\WINDOWS\aims.exe O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\sdktemp.exe iTunesMusic.exe、lsass.exe、wkssvc.exe、winmgc.exe、pwnsvc.exe、aim.exe、sdktemp.exe等どれをとっても、正規のファイルとして見逃してしまいそうなものばかりです。 「Rdriv.sys」自体は「HijackThis」のログには現れませんが、上記の設定等によってサービスから起動されている可能性があります。 ☆3 viruses and worms/viruses and worms/Re:rdriv.sys on: October 07, 2005 「Once the rootkit is removed, Ewido does effectively remove alot of malware」 「RootKit」(Rdriv.sys)を削除してから「Ewido」でスキャンすると無数のマルウエアを駆除できるようになるそうです。 ☆6 viruses and worms/viruses and worms/Re:rdriv.sys on:October 07, 2005 駆除方法についての説明です。 実際の駆除作業はセーフモードで実行するので、事前に下記のファイルをダウンロードします。 ☆rdrivRem.zip ttp://www.atribune.org/downloads/rdrivrem.zip (直リンですので、URLの先頭に「h」を追加してください。) 使い方については下記参照ください。 http://www.atribune.org/content/view/26/2/ rdrivrem.zipを解凍すると下記のファイルが作成されますので同じフォルダに保存してください。 swsc.exe hosts rdrivrem.bat ☆Ewido Security Suite ttp://www.ewido.net/en/download/ (直リンですので、URLの先頭に「h」を追加してください。) 使い方については下記参照ください。 http://fine.tok2.com/home/heto2/0700SecurityApp/EWIDO/0001.htm 初めて使用する際はデータのアップデート画面になりますので画面の指示に従ってください。 すでに使用中の方は「Ewido」を起動し、画面左の「アップデート」をクリック、画面右の「アップデートのスタート」をクリックして最新のデータをダウンロードしてください。 画面右上の「X」ボタンでいったん「Ewido」を終了します。 ☆ATF-Cleaner.exe ttp://www.atribune.org/ccount/click.php?id=1 (直リンですので、URLの先頭に「h」を追加してください。) ☆駆除作業の前に この種の作業は、あくまで自己責任で実行することになります。 万一の事態に備えるため重要なファイルやレジストリのバックアップを取って置いてください。 作業中のファイルがあればすべて終了させてください。 準備ができたら、パソコンをセーフモードで再起動します。 ☆駆除作業1.「rdrivRem.bat」の実行 1.rdrivRem.zipを解凍してできる「rdrivRem.bat」をダブルクリックして実行します。 2.「rdriv.sys and EsBot Killer」の画面が表示されます。 3.続行する場合はリターンキー、中止する場合は画面右上の「X」ボタンで終了します。 4.作業が終了すると、作業の結果が「rdrivRem.bat」が保存されているフォルダに「rdriv.txt」という名前で作成保存されます。 ☆駆除作業2.「ATF-Cleaner.exe」の実行 最近のマルウエアはテンポラリーフォルダに不審なファイルを保存することがあります。 ATF-Cleaner.exeを使ってテンポラリーフォルダにあるファイルを削除します。 「ATF-Cleaner.exe」を起動して「Main」画面でチェックボックスの一番下の「Select All」をチェックして、「Empty Selected」をクリックします。 (もし、重要なクッキーファイルがある場合はデスクトップ等わ分かりやすい場所に移動しておいてください。) 「hosts」ファイルを初期値で上書きする作業が入ります。「hosts」ファイルに特別の設定がある場合は別名でバックアップをとっておいてください。 Firefox、Opera をご使用の方は下記参照ください。 If you use Firefox browser Click Firefox at the top and choose: Select All Click the Empty Selected button. NOTE: If you would like to keep your saved passwords, please click No at the prompt. If you use Opera browser Click Opera at the top and choose: Select All Click the Empty Selected button. NOTE: If you would like to keep your saved passwords, please click No at the prompt. Click Exit on the Main menu to close the program. ☆駆除作業3.「Ewido」の実行 「Ewido」を起動し、画面左で「スキャン」をクリック 「スキャン」画面右で「Complete System Scan」を選択します。 感染ファイルが見つかると「Infected object found!」の画面になります。 「アクションの実行」の右側のドロップダウンリストで「削除」を選択して、「OK」をクリックします。 また、画面下の「全ての感染に対してアクションを実行」にチェックを入れておくと見つかった感染ファイルに同じ動作(削除)を適用させることができます。 今、インターネット最大の脅威がSDBot、Esbot等による「ボットネット」といわれています。そして感染を隠蔽するために利用されているのが「Rdriv.sys」をはじめとする「RootKit」です。 下記参照してください。 機密データを盗むトロイの木馬「MetaFisher」が北米で猛威 http://itpro.nikkeibp.co.jp/article/USNEWS/20060327/233417/ あなたのパソコンに侵入しているかもしれない-ボットの驚くべき実態が明らかに http://itpro.nikkeibp.co.jp/article/NEWS/20060426/236425/ 悪質ソフト隠すrootkitが激増――McAfee調査報告 http://cgi.itmedia.co.jp/tt/4107/20060419/enterprise/articles/0604/18/news010.html

その他の回答 (1)

  • yoshi-thk
  • ベストアンサー率38% (2059/5283)
回答No.1

根本の解決としての、リカバリとハードディスクのフォーマットを勧めます。 というのは、今回検出されている「ルートキット」について、特別のページをトレンドマイクロが作成しています。 その中で、ルートキットに感染していた場合には他のウイルスにも感染している可能性があると書いてます。 ですから、ルートキット以外のウイルスについて確認をする必要があるのです。 それですから、今回の場合は、万全を考えてリカバリ・クリーンフォーマットを勧めるのです。 トレンドマイクロ セキュリティ情報 > ウイルス対策Web > ウイルス対策Web一覧 > ウイルス対策Web - 2005年10月 ルートキット(TROJ_ROOTKIT)対策Web http://www.trendmicro.com/jp/security/web/archive/overview/rootkit.htm

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • 「rdriv.sys」というファイルが削除できません…。

    先日、うっかりして海外サイトに入ったしまい、その瞬間に妙な胸騒ぎがしたのでそのページだけ閉じました。 そしたら私の「月額版 ウィルスバスター」が「TROJ_ROOTKIT.Eに感染しました」とのメッセージが…。(OSはwindows2000 proです) このウィルスは駆除ソフトに対応していないらしくて、とりあえずは隔離ファイルに隔離されています。で、手動で削除とのことなのでwindowsをセーフモードで起動させて HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv なる削除キーを捜しました。\Services\まで見つかったのですが「rdriv.sys」が一向に見つかりません。 そこから約30分ぐらい経って「ファイルの検索」を実行するとC:\Windows\System32 のフォルダから「rdriv.sys」がでてきます。これを削除しようとすると「rdriv削除できません。共有違反がありました。送り側または受け側のファイルは使用中の可能性があります」とメッセージがでてきてファイルを削除することができません。 こいつのオカゲでPCを起動させるごとに「ウィルスが見つかったため、処理を実行しました」とのメッセージが延々と出続け困っています。ウィルス自体に害は無いらしいでのすがPCから即刻削除したいのです。 それで質問のなのですが「rdriv.sys」のファイルがなぜ見つからないのか?レジストリーエディタでなぜ表示されないのか?(もちろん「すべてのファイルとフォルダを表示する」にはチェックいれてます) 検出してもなぜ削除できないのでしょうか? 言葉足らずで申し訳ございませんがこの「TROJ_ROOTKIT.E」に感染したことのある方などどんな些細な情報でも良いのでご回答よろしくお願いします。

  • Hacktool.Rootkit を駆除できないのですが

    win2000で、system32の中にremon.sysと言うファイルが、Hacktool.Rootkitというウイルスに感染しているのですが、セーフモードで削除しても再起動後に復活しています。レジストリの削除も試みましたが、エラーで削除できません。 どのようにすれば駆除できるのでしょうか? ウイルスソフトは、シマンテック社製を使用しています。 よろしくお願いします。

  • 起動できません!

    お世話になります。 OSはWindowsNT4.0です。 いつものように立ち上げようとしたら、 以下のメッセージがでました。 「次のファイルが存在しないか壊れているため、WindowsNTを起動できませんでした。e:キーを押すと、ハードウェアプロファイル/システム構成の\WINNT\SYSTEM32\CONFIG\SYSTEM」 意味が分からず、原因もわかりません。 すぐに起動したいのですが、どうしたらよいでしょうか。 よろしくお願いします。

  • 起動時のプログラムの起動順序

     Win98の電源投入時には、色々なプログラムが実行されますよね。 ・CONFIG.SYS ・AUTOEXEC.BAT ・SYSTEM.INI ・WIN.INI ・スタートアップレジストリの中身 ・スタートアップフォルダの中身  これらの起動順序なんですが、ここに書いた通りでいいのでしょうか。  なぜかというと、どこからか TROJ_BYMER が入ってきて困っているので(おそらくはすでにインストール済みのアプリのどれかが種を持っているのではないかと思われますが、トレンドマクロ社のオンラインスキャンには反応しないのです)、その対策として AUTOEXEC.BAT で該当ファイルを削除してしまおう、というわけです。  このウィルスはEXEファイル感染をしませんから。  起動順序に関する情報をお持ちの方がいらっしゃいましたら、よろしくお願いします。

  • INSTB32.SYS てウイルス?

    カスペルスキーのお試し版を入れてからプロアクティブディフェンスに「レジストリの削除値を横取りしようとしています」と何度も警告がでます。 最初はこれ↓ レジストリアクセス HKEY_LOCAL_MACHINE/SYSTEM/CO......./rpcnetp プロセスを実行します(PID:764) C://windows/system32/Services.exe 次は レジストリアクセス HKEY_LOCAL_MACHINE_SYST...../00000000001 プロセスを実行します(PID:1236): C://Windows/system32/svchost.exe 詳細 ウィンドウズスタートアップ時に実行されるモジュールリストのレジストリの削除値を横取りしようとしています。 キー: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 また次は キー HKEY_LOCAL_MACHINE/SYSTEM/Controlset001/Services/INSTB32 データ /??/c://WINDOWS/TEMP/INSTB32.SYS セーフモードでウイルス検査しても何もひっかりませんでした。 ネットでINSTB32.SYSで検索してみたらカスペルスキーの英語版のサイトがヒットして翻訳して読んでみましたら症状がまったく一緒なのですが、結局これが新種の未知のウイルスなのか問題ないのか肝心なとこが理解できません。 どなたか教えてください!!! 英語の原文サイト↓ http://forum.kaspersky.com/index.php?showtopic=56856 yahoo翻訳済↓ http://honyaku.yahoofs.jp/url_result?ctw_=sT,eCR-EJ,bT,hT,uaHR0cDovL2ZvcnVtLmthc3BlcnNreS5jb20vaW5kZXgucGhwP3Nob3d0b3BpYz01Njg1Ng==,qlang=ja|for=0|sp=-5|fs=100%|fb=0|fi=0|fc=FF0000|db=T|eid=CR-EJ,k62da9145eabe7bd620f123fd58776897,t20080707003212,

  • MASPINT.SYSとは何か

    最近、フリーズが多く発生するようになりました。 とくにWindowsLiveMail 2011でのMailをデスクトップ上のフォルダーにコピーする時にフリーズが発生しやすい。 原因は分かりませんが、コンピューターの管理、イベントビュー、システムを覘いたら、PC起動時にエラーがありました。 Application Popup、 IDは1060、続けてService Contorol Manager、 IDは7000です。 詳細は下記の通り EventData : \SystemRoot\SysWow64\Drivers\MASPINT.SYS EventData : param1 param2 ここにMASPINTとありましたが、調べるとsystem32の中にはありません。 なお、SysWow64\Driversにはmaspint.sysのシステムファイルがありました。 レジストリーを見たら、HKEY_LOCAL_MACHINE/SYSTEM/CurrentContorolSet/serviceの中にMASPINTがありました。 レジストリーにある場合はテクニカルセキュリティ評価では40% 危険と出ておりましたが、ウィルスセキュリティでは掴めておりませんが、過去にはマルウェアを見つけて削除できたことがあります。 質問文が正しく伝えられているか不安です。これらは下記を見て質問した次第です。 http://www.windowexeallkiller.com/j.php?q=maspint-c-windows-system32-drivers-maspint-sys http://www.windowsfiles.jp/fairu/maspint.sys.html そもそもMASPINT.SYSとは何でしょうか。 レジストリーのMASPINTを削除すべきか否か。また、その方法は? セキュリティータスクマネージャを推奨とあるが、例の何とかパートナーであるし、文を信用してよいのか否か。 或は、このままの使用でMASPINTに関しては問題はないか。(フリーズは別の原因とか) 追記; Win7 Uitimate 64ビット デスクトップ 因みにノートPCはWin 7 Home 64ビットですが、MASPINT.SYSはありません。 両PCとも同じモデム、ルーターを共用しています。

  • BKDR_MINEH.A(バックドア)【初心者】

     今、ノートンの2003を入れているのですが・・・ トレンドマイクロのWEBチェックで調べたら・・・BKDR_MINEH.Aに感染しているみたいでした。 対応方法もレジストリ削除&ファイル削除して再度チェックすると【WindowsNTDebug】← C:\WINNT\SYSTEM32\WindowsNTDebugと復活していて削除できません(T_T) 初心者ですいませんが、どなたかしっているかたいらっしゃいましたら教えてください。 宜しくお願いします。

  • services.exeについて。

    こんにちわ。 パソコンのウイルス感染が気になり、タスクマネージャーで起動しているものを確認すると、services.exeが優先度:リアルタイムで起動していました。検索したところ、services.exeがウイルスの可能性が高いと言う事がわかり、トレンドマイクロのサイトを参考にしてレジストリエディタを開いて確認してみると HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runに 名前 services contoroller データ C:\WINNT\services.exe と登録されていました。 自分で登録した記憶はありません。 また、ここの過去ログではsystem32と言うフォルダ以外にあるservices.exeは黒とバッチリ書かれていました。 ですが、検索した結果の例と違う事やウイルスバスターのウイルス検索が反応しない事から削除するべきか迷っています。 ちなみにservices.exeはタスクマネージャーを見る限りwin32フォルダのものはちゃんと起動されていました。 OSは2kです。 ウイルスなのか、違うのかよくわかりませんが、プロセスの優先度が他は通常なのに、これだけリアルタイムと言うのがどうも気持悪いです。良くある事なのでしょうか? 削除すべきか、アドバイス、宜しくお願いします。

  • Windows7でpagefile.sys消せない

    PC環境 OS:Windows7 ultimete 64bit メモリー:12GB PCの動作が重くなる事があり、デフラグソフトの分析でpagefile.sysが16,000程に断片化されていると出ました。容量は14GBほど使われています。 ネットで調べるとpagefile.sysの断片化は一度削除してデフラグし設定し直すとよい、とあったのでCドライブのpagefile.sysを削除しようとしています。 システムの設定でCドライブは「ページングファイルなし」に設定し、代わりにDドライブに設定しました。 忘れやすい「設定」は押しています。 再起動すると、Dドライブに8GBほどのpagefile.sysが作成されました。 しかし、Cドライブのpagefile.sysはそのまま消えていませんでした。 「ページングファイルなし」で再起動すると、「pagefile.sysが消える」「消えていないときは手動で削除する」とあったのですが、エクスプローラーで手動で削除しようとすると「別のプログラムがこのファイルを開いているので操作を完了できません」というエラーになります 何度か再起動してみましたが、同じでした。 システムでDドライブにページファィルを設定しても無条件にCドライブが使われるような設定がどこかにあるのでしょうか。 ご存じの方、よろしくおねがいします。

  • kisknl_del.sys ウイルスですか?

    C:\windows\system32\drivers\kisknl_del.sys (220kB) adwcleanerで毎回検出されます。 削除しても、再起動でまた現れます。 kingsoftInternetSecurity2016を入れていますので、この関連ファイルかときいてみましたが、関係ないとのこと。 レジストリでは HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager PendingFileRenameOperationsに、この値が入っていました。 削除しても同じでしょうか? osはWindows7(x86)で、3台のPCで同じ状態です。 よろしくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する