- 締切済み
BKDR_AGENT.ECOの削除できません
BKDR_AGENT.ECOというトロイの木馬に感染してしまい、 ウイルスバスターで検出された {windows\system32\dlha\mstask32.com} {Documents and Setteings\username\Local Settings\Temp\msinfo32.dat} {Documents and Setteings\username\Local Settings\Temp\RTTemp2.exe} の3つのファイルの削除と、 regedit.exeを通常モード、セーフモードで実行して下記のレジストリ値の削除、 (ウイルスバスターHPで対処法として記載) 及びdlhaと検索して検出されるレジストリ値は全て削除したのですが、 再び削除したレジストリ値と 上の検出された3つのファイルが再び作成されてしまいます。 どのように対処すれば宜しいのでしょうか。 宜しくお願い致します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 値: Microsoft Task Scheduler = "<Windowsシステムフォルダ>\dlha\MSTASK32.COM" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 値: Microsoft Task Scheduler = "<Windowsシステムフォルダ>\dlha\MSTASK32.COM"
- t1042
- お礼率75% (3/4)
- スパイウェア
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- Win_Vista2
- ベストアンサー率0% (0/0)
確かに、とあるメーカの情報に従ってウィルス駆除の手順でしても、これは駆除できませんでした。 色々調べたところ、 1.ウィルス駆除作業に対する防衛機能を有している。 2.関連のレジストリー、ファイルを削除しても、すぐに自動復旧する 3.関連ファイルを差し替えると、自動的にプロセス(プログラム)が自動的に増殖して、CPU負荷が100%になり、パソコンの反応がほとんど無くなり、手がつけられなくなる という、非常に処理の難しい機能がある。 技術的なプログラムという点では、非常に優れている。 結局このウィルスを綺麗に駆除するのに、一晩かかりました。
- mama_ane
- ベストアンサー率69% (136/197)
バックドア系感染で「情報が上がってくるのを待つ」のは危険 オンラインスキャンで長時間ネットに繋げるのも危険 >をしてもまた同じレジストリが同じ場所に存在 復活させるモノが居るんでしょうね。 「BKDR_AGENT.ECO」以外の感染もありそうなので駆除専門の掲示板へ移動をお勧めします。 各種ログを取った上バスターが感知しないファイルを探して処理します。 アダ被(higaitaisaku.com) http://bbs.higaitaisaku.com/cbbs.cgi 自力でと思うなら高危険度の感染はリカバリが一番無難です。 ・クリーンインストール http://www.higaitaisaku.com/cleaninst.html XPやWin2000なら以下も参照 ・ワームに感染しない Windows 2000/XP のインストール手順 http://tomcat.nyanta.jp/t_html/contents/wininstall.shtml
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
バスター君のサイトで対応方法を読むと IEを終了 IEXPLORE.EXEをタスクマネージャで終了させる レジストリ編集 フォルダー削除 ウイルススキャン・削除 念を入れてのスキャン という手順のようです。 P2Pソフトをやっていたら削除を勧めます システムの復元を使わないならそれを無効にすると、ウイルスが利用できなくなります。 また、トレンドマイクロのほかのメーカーでオンラインスキャンもいいかもしれません。
お礼
IEXPLORE EXEをタスクマネージャーで終了させても なぜか復活(また表示)してしまいます。。 そしてレジストリを削除をしてもまた同じレジストリが同じ場所に存在 してしまいます。 どこか大元のレジストリを削除しなければいけないのでしょうか・・・。 とにかく他にもいろいろ試してみます。 ご回答有難うございます。
- prfct_fool
- ベストアンサー率25% (15/58)
トレンドマイクロのその説明ページにある、 → http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_AGENT.ECO 「侵入方法」でいうところの「他の不正プログラムに作成され」という事は考えられないですか? まだウィルスバスターで認識されていないトロイの木馬ですとか. その場合には、そちらを発見する事の方が先決事項になるかと思います.
お礼
他の不正プログラムですか・・・。 思い当たらないです。。 ウィルスバスターで認識されていないトロイの木馬から 作成されているとしたら情報が上がってくるのを待つしかないですね・・。 ご回答頂き有難うございました。
関連するQ&A
- ウィルス感染BKDR_SDBOT.DP
今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。
- 締切済み
- ウィルス・マルウェア
- スパイウェアの削除方法について・・・
PCからたくさんのスパイウェアが検出され、 その大半は削除できたのですが、 以下のファイルは手動でないと削除できないようです。 その削除方法を教えてください。 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-21-2307437357-1763808397-3916703754-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 CnsMin: ライブラリ (ファイル, nothing done) C:\WINDOWS\Downloaded Program Files\CnsMin.dll
- ベストアンサー
- ウィルス・マルウェア
- ウィルスが削除できないです。だれか助けてください。
キンタマウィルスにかかってしまったようです。 ウィルスバスターでも検出できませんでした。 どこかのサイトに「システムの復元機能を無効にする。 UpFolder.txtの中で指定された場所に、readme.filesフォルダがあるので、それを削除する。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。 (/logon /start /autorun /startup これらが含まれている可能性が高い。) どれが怪しいか分からない場合は「データ」を辿ってみる。それが偽装アイコンだったら間違いなくキンタマ。 C:\Documents and Settings\ユーザー名\Local Settings\Temp\ユーザー名.txtなどを削除。 WINDOWS\win.ini、WINDOWS\system.iniに、キンタマっぽいのがWinnyのパスを書いていた場合そのパスのみを削除。 regedit.exe、regedt32.exe を復元。 」 とあったので一通りやってみたのですが、レジストregeditと復元してもすぐにメモ帳に戻ってしまいます。どうしたらいいのでしょう。どうか教えてください。
- ベストアンサー
- ウィルス・マルウェア
- スタートアップ項目の削除方法につて
Windows10・64bitのBTOパソコンです。タスクマネジャーのスタートアップの項目にアンインストールしたアプリケーションの項目がいくつか残っています。以下のレジストリを参照しますが、該当のスタートアップの項目が見当たりません。どうぞ、削除方法をご教示ください。よろしくお願いいたします。 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- ベストアンサー
- Windows 10
- Realspyの削除について
CAオンラインスキャンで検索してみたら Spyware "Spyware.RealSpy" 検出箇所: Key "hkey_local_machine \software\microsoft\windows\currentversion\shareddlls" value "c:\windows\system32\actskin4.ocx" data "1" が検出されました。spybot.ad-awareでは検出できません。削除方法を教えてください。
- ベストアンサー
- スパイウェア
- コントロールパネルから「プリンタとFAX」を削除する方法は?
Windows XPでコントロールパネルから「プリンタとFAX」のアイコンを非表示にするにはどうしたらいいのでしょうか? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D} を削除すればいいと思うのですが、肝心のこのレジストリがないので非表示にすることができません。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Printers こっちのレジストリは削除してもアイコンは非表示になりませんし。。。 どうやったら非表示にできるのでしょうか?よろしくお願いします。
- 締切済み
- Windows系OS
- qoqudmtoというEXEファイル
qoqudmto.exeというファイルが勝手に生成されて困っています。 このファイル自体、無害なのか有害なのかさえ分かりません。 このファイルには、 Qernel Mode Drive Manager 会社名:Four-F と説明されていますがネットで検索してもあまり出てきません。 ログインすると、 C:\Documents and Settings\<ユーザー名>\Local Settings C:\WINDOWS\system32 の2箇所に生成されます。 セーフモードでファイルを削除したりレジストリを削除しても次に起動するときには 自動でファイルが生成されたりレジストリも書き換わっています。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ウィルスソフトでのスキャンでも検出されず、何をしようとしているのか分からず 不気味なので2度と出てこないようにしたいです。 リカバリーも考えていますが、最終手段にしたいと思います。 皆さん、お力を貸してください。 ちなみにOSはXPです。
- ベストアンサー
- ウィルス・マルウェア
- レジストリの変更で不具合が起こる可能性
自分はレジストリをいじったことはほとんどないのですが、レジストリを変更したことによって不具合が起こる可能性はあるのでしょうか?OSはWindows7です。 例えば、自分は現在次のレジストリを変更しています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun また、レジストリ関連でもう一つ質問したいのですが、レジストリの作成、追加・削除方法は次の通りで合っていますか? 追加する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=91 削除する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=- これをそれぞれメモ帳に書いて、「.reg」ファイルとして保存する。 これらのレジストリを適用する場合、「.reg」ファイルをダブルクリックする。 回答よろしくお願いします。
- ベストアンサー
- Windows 7
- crss.exeが削除できません
会社内の1台のPC(NT)でウイルスチェック(NortonAntivirus)をかけたら、 C:\WINNT\system32下に「crss.exe」(Trojan.Horse)が検出されました ノートンでクリーニング、削除、隔離しようと試みましたが失敗します (最近(?)の定義ファイルにアップデートのはず…です) いろいろと調べましたがレジストリ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CRSS や ~\RunServices\CRSS もありません 削除する方法を教えてください
- ベストアンサー
- ウィルス・マルウェア
- レジスト削除したいのですが
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\MagnaCartaこのキー削除しなさいと聞いたのですが手順教えてください ウインドーズ98SEです
- ベストアンサー
- Windows 95・98
お礼
いろいろと教えて頂き有難うございます。 どうにかレジストリを再生されないように駆除することが出来ました。 [msconfig]で自動起動プログラム一覧を見るとmstask32.comが 表示されていたのでそのチェックボックスを外して再起動しても またレジストリが復活してしまう状態で直らなかったのですが、 再度自動起動プログラム一覧の01.exeという、いかにも怪しいプログラム のチェックは外して再起動しましたらレジストリが復活しなかったので そのままレジストリ、プログラムを削除しましたらウイルイスバスターで スキャンしても無事に何も検出されなくなりました^^ このサイトに書き込みするのは初めてだったのですが、 書き込みしてすぐに丁寧に回答して頂けるのには驚きました。 どうも有難うございました。 m(_ _)m