- ベストアンサー
crss.exeが削除できません
会社内の1台のPC(NT)でウイルスチェック(NortonAntivirus)をかけたら、 C:\WINNT\system32下に「crss.exe」(Trojan.Horse)が検出されました ノートンでクリーニング、削除、隔離しようと試みましたが失敗します (最近(?)の定義ファイルにアップデートのはず…です) いろいろと調べましたがレジストリ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CRSS や ~\RunServices\CRSS もありません 削除する方法を教えてください
- kasumi1982
- お礼率95% (80/84)
- ウィルス・マルウェア
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
会社内の一台、ということは…社内ネットワークの中の一台、ということでしょうか?だとすると、これはもうその一台の問題ではなく、社内ネットワーク全体の脅威では? その一台を即刻ネットワークから切り離してリカバリを行うのが筋ではないかと思います。もちろん、同一ネットワークにあるPC全てを早期にきちんと全体スキャンすべきでしょう。 Trojan.Horseは未知のトロイの木馬の総称として表示される筈。現状のノートンでは細かな素性の割り出しは難しそうです。きちんと対応するには他社製のオンラインスキャンを受ける必要がありそうですが…"crss.exe"でGoogle検索した結果見つけたものをざっとみると、 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CCI&VSect=T http://oshiete1.goo.ne.jp/kotaeru.php3?q=1279918 http://www.sophos.co.jp/security/analyses/w32rbotpx.html http://www.casupport.jp/virusinfo/2005/win32_pinteep_family.htm http://www.casupport.jp/virusinfo/2002/win32_calinaut.htm …どれを見てもろくなものではありません。これらに該当しない新種である可能性もあります。適切な対処法を見つけるために素性を特定しようとあくせくしている間に様々な情報が流出する一方、得体の知れないものが勝手に入り込む可能性も高そうです。そして、削除、隔離が出来ない時点で、既にこのマルウェア(悪意を持つプログラムの総称)は活動を開始しています。
その他の回答 (2)
- sonnabakana
- ベストアンサー率43% (286/662)
ノートンであれば、セーフモードでもう一度スキャン、削除を試みてはいかがでしょうか。 セーフモードで起動<スタート<マイコンピュータ<Cドライブを右クリック<NortonAntivirusでスキャンです。
お礼
ご回答ありがとうございます 解決しました ※「NTでセーフモード」勉強不足で…(^_^;) お礼が遅くなりスミマセン。
- mono9211
- ベストアンサー率49% (294/593)
セーフモードで起動して削除してみてください。
お礼
ご回答ありがとうございます 起動時にF8押して、メニューを出しましたが、セーフモードがありませんでした NTってセーフモードありますか?
関連するQ&A
- Trojan.Win32.FTP Attackが検出されたのですが・・・
CAの無料スパイウェアスキャンで Trojan.Win32.FTP Attack というものが検出されました。 hkey_local_machine \software\microsoft\windows\currentversion\runといところから検出されたのですが、 CAの紹介サイトではHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\reminderと掲載されていました。 これは誤検出というものなんでしょうか? OS Windows XP SP2 スパイウェア対策はヤマダ電機のオンラインスキャンをかける程度で対策ソフトは入れていませんでした。 よろしくお願いいたします。
- ベストアンサー
- スパイウェア
- コントロールパネルから「プリンタとFAX」を削除する方法は?
Windows XPでコントロールパネルから「プリンタとFAX」のアイコンを非表示にするにはどうしたらいいのでしょうか? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D} を削除すればいいと思うのですが、肝心のこのレジストリがないので非表示にすることができません。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Printers こっちのレジストリは削除してもアイコンは非表示になりませんし。。。 どうやったら非表示にできるのでしょうか?よろしくお願いします。
- 締切済み
- Windows系OS
- TROJ_BRISS.Hというウイルスが検出されたのですが・・・
TROJ_BRISS.Hというウイルスがウイルスバスターで検出され、隔離されたのですが、よくわかりません。 トレンドマイクロのウイルス検索で検索したところレジストリ値がかえられてしまうということだったので、直ぐに手動削除手順というのを見ながらやってみる事にしたのですが・・・ まずファイル名を調べるという事だったので調べるとBRIDGE.DLLというものだったのでタスクマネージャーを開いて探してみたのですがありませんでした。 だから一応レジストリ値も見てみたのですが、HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Runという場所には何もありませんでした。 この場合ウイルスが検出されただけで実行はされていないのでしょうか??
- ベストアンサー
- ウィルス・マルウェア
- レジストリで・・
↓のレジストリで間違って変えてしまったので、 皆さんの数値?はどんなになってるでしょうか? HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→ Windows NT→CurrentVersion→WinlogonにあるSfcQuotaの値のデータを いってくれると嬉しいです。
- ベストアンサー
- Windows XP
- winupdater.exe
WinXPをウィルスバスター2003を常に最新の状態にして使っていますが、なんだかネットへのつながり方がおかしく感じたので、ウィルスバスターのパーソナルファイアウォールログを見ると、トロイの木馬が入り込んでいました。 タスクマネージャを見てみると、winupdater.exeという見慣れない名前があり、それを終了させるとファイアウォールログのトロイの木馬ブロックは止まります。 検索するとWORM_AGOBOT.CXにヒットするのですが、システムフォルダにWINUDPP.EXEというファイルはないし、違うように思います。 レジストリエディタでHKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run と >RunServicesにあったWinUpdaterを削除しても、再起動したらまた元に戻ってしまいます。 対処方法を見つけられずに困っています。どなたか対処方法をご存じの方がいらっしゃったら、どうかアドバイスをよろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- スタートアップ項目の削除方法につて
Windows10・64bitのBTOパソコンです。タスクマネジャーのスタートアップの項目にアンインストールしたアプリケーションの項目がいくつか残っています。以下のレジストリを参照しますが、該当のスタートアップの項目が見当たりません。どうぞ、削除方法をご教示ください。よろしくお願いいたします。 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- ベストアンサー
- Windows 10
- ファイルの削除/レジストリからの削除できないので困っています
ウイルスに感染してしまい、駆除しています。 感染時はウイルスバスターは入れていなかったのですが、今は入れました。 現時点での症状は、ウイルスバスターが定期的にTROJ_DLOASER.APRとTROJ_DLOADER.BKHを検出して隔離を繰り返しています。 最初に感染したときにできたファイルでどうしても消せないファイルがあり、困っています。 windows\system32\browsela.dllというファイルです。 ウイルスバスターでは特に検出してくれるものではないのですが、 QNo.1893154「TROJ CWS.ABに感染」の「ANo.#4」にあげられているので、 このファイルを消した方がよいのかと思っています。 レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela で起動されていることらしいことはわかったので、このレジストリを削除しようとしたのですが、 すぐに復活してしまいます。 また、変更をしてもすぐに復活してしまいます。 セーフモードで起動しても同じです。 レジストリを消して、ファイルを消せばよいのかと考えていてこの質問をしているのですが、 このレジストリの消去方法またはファイルの削除方法をご存知の方はいませんでしょうか? どなたか助けてください。 お手数をおかけしますが、よろしくお願いいたします。
- 締切済み
- ウィルス・マルウェア
- ウィルス感染BKDR_SDBOT.DP
今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。
- 締切済み
- ウィルス・マルウェア
- レジストリの変更で不具合が起こる可能性
自分はレジストリをいじったことはほとんどないのですが、レジストリを変更したことによって不具合が起こる可能性はあるのでしょうか?OSはWindows7です。 例えば、自分は現在次のレジストリを変更しています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun また、レジストリ関連でもう一つ質問したいのですが、レジストリの作成、追加・削除方法は次の通りで合っていますか? 追加する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=91 削除する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=- これをそれぞれメモ帳に書いて、「.reg」ファイルとして保存する。 これらのレジストリを適用する場合、「.reg」ファイルをダブルクリックする。 回答よろしくお願いします。
- ベストアンサー
- Windows 7
- 以前の質問を見ても解決できないWORM_WINUR.C
QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。
- 締切済み
- ウィルス・マルウェア
お礼
ご回答ありがとうございます とりあえず「削除」できました 手順 1.administratorでログイン 2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下の 「CRSS」(左画面にあったと思ふ)を削除 ←←←←← ★ココがポイント★ <参考> http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.pcclient.b.html 3.再起動(administratorでログイン) 4.C:\WINNT\system32下の「crss.exe」を削除 5.再起動(administratorでログイン) 6.C:\WINNT\system32下の「crss.exe」無しを確認 7.NortonAntivirusスキャンで「感染なし」を確認 お騒がせ致しました。