• ベストアンサー
  • 困ってます

crss.exeが削除できません

会社内の1台のPC(NT)でウイルスチェック(NortonAntivirus)をかけたら、 C:\WINNT\system32下に「crss.exe」(Trojan.Horse)が検出されました ノートンでクリーニング、削除、隔離しようと試みましたが失敗します (最近(?)の定義ファイルにアップデートのはず…です) いろいろと調べましたがレジストリ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CRSS や ~\RunServices\CRSS もありません 削除する方法を教えてください

共感・応援の気持ちを伝えよう!

  • 回答数3
  • 閲覧数274
  • ありがとう数3

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.3
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)

会社内の一台、ということは…社内ネットワークの中の一台、ということでしょうか?だとすると、これはもうその一台の問題ではなく、社内ネットワーク全体の脅威では? その一台を即刻ネットワークから切り離してリカバリを行うのが筋ではないかと思います。もちろん、同一ネットワークにあるPC全てを早期にきちんと全体スキャンすべきでしょう。 Trojan.Horseは未知のトロイの木馬の総称として表示される筈。現状のノートンでは細かな素性の割り出しは難しそうです。きちんと対応するには他社製のオンラインスキャンを受ける必要がありそうですが…"crss.exe"でGoogle検索した結果見つけたものをざっとみると、 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CCI&VSect=T http://oshiete1.goo.ne.jp/kotaeru.php3?q=1279918 http://www.sophos.co.jp/security/analyses/w32rbotpx.html http://www.casupport.jp/virusinfo/2005/win32_pinteep_family.htm http://www.casupport.jp/virusinfo/2002/win32_calinaut.htm …どれを見てもろくなものではありません。これらに該当しない新種である可能性もあります。適切な対処法を見つけるために素性を特定しようとあくせくしている間に様々な情報が流出する一方、得体の知れないものが勝手に入り込む可能性も高そうです。そして、削除、隔離が出来ない時点で、既にこのマルウェア(悪意を持つプログラムの総称)は活動を開始しています。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます とりあえず「削除」できました 手順 1.administratorでログイン 2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下の 「CRSS」(左画面にあったと思ふ)を削除 ←←←←← ★ココがポイント★ <参考> http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.pcclient.b.html 3.再起動(administratorでログイン) 4.C:\WINNT\system32下の「crss.exe」を削除 5.再起動(administratorでログイン) 6.C:\WINNT\system32下の「crss.exe」無しを確認 7.NortonAntivirusスキャンで「感染なし」を確認 お騒がせ致しました。

関連するQ&A

  • 以前の質問を見ても解決できないWORM_WINUR.C

    QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。

  • ちょっと気になる

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runの中身にあるものすべて削除していいのですか? 削除してはいけないものもあるんですか?

  • ウィルス感染BKDR_SDBOT.DP

    今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。

その他の回答 (2)

  • 回答No.2

ノートンであれば、セーフモードでもう一度スキャン、削除を試みてはいかがでしょうか。 セーフモードで起動<スタート<マイコンピュータ<Cドライブを右クリック<NortonAntivirusでスキャンです。  

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます 解決しました ※「NTでセーフモード」勉強不足で…(^_^;) お礼が遅くなりスミマセン。

  • 回答No.1

セーフモードで起動して削除してみてください。

参考URL:
http://oshiete1.goo.ne.jp/kotaeru.php3?q=948120

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます 起動時にF8押して、メニューを出しましたが、セーフモードがありませんでした NTってセーフモードありますか?

関連するQ&A

  • レジストリの値について

    最近、PCを起動したらNortonのプロセスの ccApp.exeがうまくあがらないので、 レジストリエディタを見てみたらHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 配下にServicesという名称で、 C:\WINNT\system32\1.tmpへパスをはっているものがあります。 これって必要なものなのでしょうか? 現在system32配下には1.tmpは見えないのですが。 ちなみにウィルススキャンしてもなにもでてきません。 OSはwindows2000SP4、 ウィルスソフトはNortonAntiVirus2006です。

  • ウィルススキャンでは検出できない何かが通信しています。

    windows2000 SP4を使っています。調子が悪くなったのでクリーンインストールを行ったところ、ネットにつないだ瞬間(LANドライバを入れてNTTフレッツADSLの接続設定を行い回線をつないだ瞬間)から勝手に何かが通信を行っています。 ウィルスソフトを持っていないので、トレンドマイクロ、シマンテックのオンラインスキャンをしたところ (1)DOS_AGOBOT.GEN  (C:WINNT/SYSTEM32/DRIVERS/ETC/HOST) (2)WORM_AGOBOT.SZ  (C:WINNT/SYSTEM32/WINHELP32.EXEとSYSTEMCFG.EXE) (3)BKDR_SDBOT.DP  (C:WINNT/SYSTEM32/MSCONFG.EXE) (4)WORM_SDBOT.BR  (C:WINNT/SYSTEM32/WINGAMED.EXE) が検出されたのでトレンドマイクロのページの対処方法に従い、SAFEモードで起動し、感染したファイルを削除し、レジストリの ・HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices ・HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run ・HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run に存在した感染したファイルのついた値を削除しました。 再起動をかけ、もう一度ネットにつなぐとまだ勝手に通信が行われています。そのためもう一度オンラインスキャンをかけたのですが感染ファイルは発見されませんでした。 Macafeeのスティンガーや、SPYBOTでもスキャンしてみましたがなにも検出できませんでした。 どこに原因があるのかわかりません。皆様、対処方法など知恵をお貸しください。

  • Trojan.Win32.FTP Attackが検出されたのですが・・・

    CAの無料スパイウェアスキャンで Trojan.Win32.FTP Attack というものが検出されました。 hkey_local_machine \software\microsoft\windows\currentversion\runといところから検出されたのですが、 CAの紹介サイトではHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\reminderと掲載されていました。 これは誤検出というものなんでしょうか? OS Windows XP SP2 スパイウェア対策はヤマダ電機のオンラインスキャンをかける程度で対策ソフトは入れていませんでした。 よろしくお願いいたします。

  • ワンクリウェア駆除ツール 後の対応について

    はじめまして。 当方、恥ずかしながらアダルトサイトをクリックしてしまい、アダルトサイト請求画面が頻繁に出てしまい、ワンクリウェア駆除ツール を使わせていただきました。 すると以下の画面が表示されました。 確認しましたがパスが記述されていないので削除の必要がないとみて良いでしょうか。 以上、お手数ですが宜しくお願い致します。 『以下のレジストリにパスが記述されていれば削除を推奨 ワンクリサイトからダウンロードしたファイルも残っていれば、削除を推奨。 よくわからなければ、ウイルス対策ソフトが対応するのを待って下さい。 全ファイル&フォルダの表示設定 higaitaisaku.com http://www.higaitaisaku.com/zenhyoji.html www.ero-filehost.com www.kiss-of-adult.com / www.lady-impact.com [HKEY_CURRENT_USER\Software\Path\D209HF6AFC36E9BA]path [HKEY_CURRENT_USER\Software\Path\D209HF6AFC36E9BA]htmlpath [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]www.kiss-of-adult.com [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][ProductId]KA [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]www.kiss-of-adult.com.html [HKEY_CURRENT_USER\Software\Path\JUGCGTGSTVSL8TUH]path [HKEY_CURRENT_USER\Software\Path\JUGCGTGSTVSL8TUH]htmlpath [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]www.lady-impact.com.html [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]www.lady-impact.com www.adult-dougaga.com 』

  • レジスト削除したいのですが

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\MagnaCartaこのキー削除しなさいと聞いたのですが手順教えてください ウインドーズ98SEです

  • WIN2000でのレジストリーファイルの削除

    HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run にあるフアィルを消しても大丈夫なのでしょうか? 立ち上がらなくなったりしないのでしょうか教えてください。

  • Windows起動時のエラー表示

    Windows起動時の添付画像のエラー表示されます。 webで調べて、レジストリの .HKEY_LOCAL_MACHINE ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥run HKEY_CURRENT_USER ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥run など不要なものを削除し、 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup なども削除し、msconfigのシステム構成も、整理しましたが、解決できませんでした。 お詳しい方がいらっしゃいましたら教えてください。 よろしくお願い致します。

  • qoqudmtoというEXEファイル

    qoqudmto.exeというファイルが勝手に生成されて困っています。 このファイル自体、無害なのか有害なのかさえ分かりません。 このファイルには、 Qernel Mode Drive Manager 会社名:Four-F と説明されていますがネットで検索してもあまり出てきません。 ログインすると、 C:\Documents and Settings\<ユーザー名>\Local Settings C:\WINDOWS\system32 の2箇所に生成されます。 セーフモードでファイルを削除したりレジストリを削除しても次に起動するときには 自動でファイルが生成されたりレジストリも書き換わっています。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ウィルスソフトでのスキャンでも検出されず、何をしようとしているのか分からず 不気味なので2度と出てこないようにしたいです。 リカバリーも考えていますが、最終手段にしたいと思います。 皆さん、お力を貸してください。 ちなみにOSはXPです。

  • winupdater.exe

    WinXPをウィルスバスター2003を常に最新の状態にして使っていますが、なんだかネットへのつながり方がおかしく感じたので、ウィルスバスターのパーソナルファイアウォールログを見ると、トロイの木馬が入り込んでいました。 タスクマネージャを見てみると、winupdater.exeという見慣れない名前があり、それを終了させるとファイアウォールログのトロイの木馬ブロックは止まります。 検索するとWORM_AGOBOT.CXにヒットするのですが、システムフォルダにWINUDPP.EXEというファイルはないし、違うように思います。 レジストリエディタでHKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run と >RunServicesにあったWinUpdaterを削除しても、再起動したらまた元に戻ってしまいます。 対処方法を見つけられずに困っています。どなたか対処方法をご存じの方がいらっしゃったら、どうかアドバイスをよろしくお願いいたします。

  • ibm0001.exeが削除できないんです。知恵をかしてください。

    度々申し訳ありません。 「"C\Program Files\Common File\Micrsoft Shared\ibm0001.exe"が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。」が常に出ます。 という質問のご回答をたくさんいただきました。 ありがとうございました。 現在の状況を結論から述べますと、未解決のままなんです。 私が皆さんから教えていただいた中で行った手順ですが、 まず、レジストリエディタを起動させ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run にShellという名前のキーがあるか探しました。 が、Shellという名前のキーはなく、一応覗いたのですがibm0001.exeは 見つからなかったのです。 次に、msconfig を起動して、スタートアップにある ibm0001 を無効に切り替え、regedit を起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にあると思われるibm0001.exe のアイテムを削除しよとしたのですが、 スタートアップのところでibm0001.exeのチェックをはずし、再起動 したのですが、起動後またもや再起動案内が出没しそれを3回おこなって もibm0001.exeが出現する状態は変わらず、逆になぜかブラウザが、クラッシックバージョンになってしまいました。 現在も同じ状態です。 またまた、皆さんのお力をお借りしようと思いまして、投稿いたしました。何か方法はないでしょうか? 教えて下さい。 よろしくお願いいたします。