• ベストアンサー

ntsystem.exe はWinAntiVirusスパイウェアの新種?

こんにちは。Windows XP SP2を使用し、インターネットはLunascapeというタブブラウザで閲覧している者です。 つい最近(1ヶ月以内)、ネット検索で英文のページを開いたところ、広告画面がタブで表示されたため、急いで閉じようとしましたが、しばらく時間(数分?)がかかり、ようやく閉じられました。その時、確か「WinAntiVirus」なるタイトルがタブに出ていたと思います。 その日以来、起動時に必ず、[IEXPLORE.EXE](なぜかIE自体は表示されない、)と一緒に[ntsystem.exe]というプロセス(タスクマネージャで確認)が起動し、その後しばらく経ってから、Lunascapeが起動し、[Error Detected]というタイトルの、青画面のタブが表示されます(IEのポップアップが起動できないため?)。その時アドレス欄に表示されているアドレスに、[winantivirus.com]というものがあったため、WinAntiVirusのスパイウェアではないかと思いました。 以下に挙げたスパイウェア検出ソフトはいずれも検出不可能でした(定義ファイルは(X-Cleanerを除き)2週間以内の物)。また、いずれも最新版(現在公開されているベータ版などでないバージョン)を用いて行っています。 ・Ad-AWare SE Personal(セーフモードにおいてもスキャン済み) ・Spybot S&D(セーフモードにおいてもスキャン済み) ・Windows Defender(beta 2) ・Windows Live OneCare ・X-Cleaner 評価版 [ntsystem.exe]が元になっていることが把握できているため、スタートアップ項目(レジストリ)を使用不能にしたところ、再生成(生成元不明)され、項目を抹消しても同じでした。 [ntsystem.exe]本体の削除も行いましたが、起動時に自動生成されました(スタートアップ中に自動生成されるため、生成するプロセスの確認が困難)。 追記ですが、ウイルスチェッカは、諸事情でウイルスバスターなどを購入できないため、avast! version 4.7 Home Editionを使用しています。

質問者が選んだベストアンサー

  • ベストアンサー
  • doki2
  • ベストアンサー率51% (440/860)
回答No.2

下記のファイルがウォッチャーになってntsystem.exeを復活させているようです。 C:\WINDOWS\system32\ntoskrnl.dll 「Autoruns」を使ってみてください。 「Autoruns V 8.42」詳解  http://fine.tok2.com/home/heto2/0401Autoruns/mokuji.htm  1.起動するとスタートアップの登録項目が順次検出表示されていきます。  2.表示完了後、「Ctrl + F」で検索画面を呼び出し、「ntoskrnl.dll」をコピペして検索します。    3.見つかった行を選択して右クリック、メニューの「Delete」を選択、削除します。  4.複数登録されることがありますので「F3」を使って次を検索し、見つかった行を削除します。  5.もう一度「Ctrl + F」で検索画面を呼び出し、「ntsystem.exe」をコピペして検索します。    6.見つかった行を選択して右クリック、メニューの「Delete」を選択、削除します。    7.複数登録されることがありますので「F3」を使って次を検索し、見つかった行を削除します。  8.パソコンを再起動して下記のファイルが削除されたかどうか確認してください。     C:\WINDOWS\system32\ntoskrnl.dll   C:\WINDOWS\system32\ntsystem.exe

noname#56881
質問者

お礼

Autorunsで検出されなかったため、ファイルを手動で抹消し(削除は問題があるとは思いますが通常削除です)、セーフモードにてmsconfigで残骸のレジストリを有効にした上で、CCleanerにより残骸も消去しました。 ntoskrnl.exeはあったような気がしましたが、その関連ファイル(DLL)とシステムファイルを装った点で、非常に扱いにくいスパイウェアでした。 どうもありがとうございました。

すると、全ての回答が全文表示されます。

その他の回答 (1)

  • yoshi-thk
  • ベストアンサー率38% (2059/5283)
回答No.1

「WinAntiVirus」については、ご指摘の通り不正なアドウェアです。 次のサイトのデータベースに紹介されています。 higaitaisaku.com(アダ被) HijackThis Entry Database WinAntiVirusPRO 2006 http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=467 そのデータベースの中の「説明/対処法」の項目で 「WinAntiVirusPROを拾う原因となる下記のマルウェアに感染している可能性があります。」 という説明文があり、その下に感染原因となるウイルスの情報が掲載されています。 その情報をもとに、ウイルス検索と対処をしてみることを勧めます。 ただし、これでも解決できない場合には、素直にリカバリすることを推奨します。

noname#56881
質問者

お礼

ありがとうございます。 文章量が多く書ききれませんでしたが、ウイルスは、avast!の定義ファイルを更新後セーフモードで検査しても見つからなかったため、今回の質問に至った次第です。

すると、全ての回答が全文表示されます。

専門家に質問してみよう