• 締切済み
  • すぐに回答を!

BKDR_AGENT.ECOの削除できません

BKDR_AGENT.ECOというトロイの木馬に感染してしまい、 ウイルスバスターで検出された {windows\system32\dlha\mstask32.com} {Documents and Setteings\username\Local Settings\Temp\msinfo32.dat} {Documents and Setteings\username\Local Settings\Temp\RTTemp2.exe} の3つのファイルの削除と、 regedit.exeを通常モード、セーフモードで実行して下記のレジストリ値の削除、 (ウイルスバスターHPで対処法として記載) 及びdlhaと検索して検出されるレジストリ値は全て削除したのですが、 再び削除したレジストリ値と 上の検出された3つのファイルが再び作成されてしまいます。 どのように対処すれば宜しいのでしょうか。 宜しくお願い致します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 値: Microsoft Task Scheduler = "<Windowsシステムフォルダ>\dlha\MSTASK32.COM" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 値: Microsoft Task Scheduler = "<Windowsシステムフォルダ>\dlha\MSTASK32.COM"

共感・応援の気持ちを伝えよう!

  • 回答数4
  • 閲覧数136
  • ありがとう数3

みんなの回答

  • 回答No.4

確かに、とあるメーカの情報に従ってウィルス駆除の手順でしても、これは駆除できませんでした。 色々調べたところ、 1.ウィルス駆除作業に対する防衛機能を有している。 2.関連のレジストリー、ファイルを削除しても、すぐに自動復旧する 3.関連ファイルを差し替えると、自動的にプロセス(プログラム)が自動的に増殖して、CPU負荷が100%になり、パソコンの反応がほとんど無くなり、手がつけられなくなる という、非常に処理の難しい機能がある。 技術的なプログラムという点では、非常に優れている。 結局このウィルスを綺麗に駆除するのに、一晩かかりました。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • ウィルス感染BKDR_SDBOT.DP

    今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。

  • task monitorのレジストリの値を教えてください

     レジストリの編集中、誤って HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run から、task monitorの項目をすべて削除してしまいました。  以来、パソコンが不安定になり、システムリソースが足りなくなって フリーズしたりする事が多くなりました。  どなたかtask monitorのレジストリを教えていただけないでしょうか。

  • コントロールパネルから「プリンタとFAX」を削除する方法は?

    Windows XPでコントロールパネルから「プリンタとFAX」のアイコンを非表示にするにはどうしたらいいのでしょうか? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D} を削除すればいいと思うのですが、肝心のこのレジストリがないので非表示にすることができません。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Printers こっちのレジストリは削除してもアイコンは非表示になりませんし。。。 どうやったら非表示にできるのでしょうか?よろしくお願いします。

  • 回答No.3

バックドア系感染で「情報が上がってくるのを待つ」のは危険 オンラインスキャンで長時間ネットに繋げるのも危険 >をしてもまた同じレジストリが同じ場所に存在 復活させるモノが居るんでしょうね。 「BKDR_AGENT.ECO」以外の感染もありそうなので駆除専門の掲示板へ移動をお勧めします。 各種ログを取った上バスターが感知しないファイルを探して処理します。 アダ被(higaitaisaku.com) http://bbs.higaitaisaku.com/cbbs.cgi 自力でと思うなら高危険度の感染はリカバリが一番無難です。 ・クリーンインストール http://www.higaitaisaku.com/cleaninst.html XPやWin2000なら以下も参照 ・ワームに感染しない Windows 2000/XP のインストール手順 http://tomcat.nyanta.jp/t_html/contents/wininstall.shtml

共感・感謝の気持ちを伝えよう!

質問者からのお礼

いろいろと教えて頂き有難うございます。 どうにかレジストリを再生されないように駆除することが出来ました。 [msconfig]で自動起動プログラム一覧を見るとmstask32.comが 表示されていたのでそのチェックボックスを外して再起動しても またレジストリが復活してしまう状態で直らなかったのですが、 再度自動起動プログラム一覧の01.exeという、いかにも怪しいプログラム のチェックは外して再起動しましたらレジストリが復活しなかったので そのままレジストリ、プログラムを削除しましたらウイルイスバスターで スキャンしても無事に何も検出されなくなりました^^ このサイトに書き込みするのは初めてだったのですが、 書き込みしてすぐに丁寧に回答して頂けるのには驚きました。 どうも有難うございました。 m(_ _)m

  • 回答No.2

バスター君のサイトで対応方法を読むと IEを終了 IEXPLORE.EXEをタスクマネージャで終了させる レジストリ編集 フォルダー削除 ウイルススキャン・削除 念を入れてのスキャン という手順のようです。 P2Pソフトをやっていたら削除を勧めます システムの復元を使わないならそれを無効にすると、ウイルスが利用できなくなります。 また、トレンドマイクロのほかのメーカーでオンラインスキャンもいいかもしれません。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

IEXPLORE EXEをタスクマネージャーで終了させても なぜか復活(また表示)してしまいます。。 そしてレジストリを削除をしてもまた同じレジストリが同じ場所に存在 してしまいます。 どこか大元のレジストリを削除しなければいけないのでしょうか・・・。 とにかく他にもいろいろ試してみます。 ご回答有難うございます。

  • 回答No.1

トレンドマイクロのその説明ページにある、 → http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_AGENT.ECO 「侵入方法」でいうところの「他の不正プログラムに作成され」という事は考えられないですか? まだウィルスバスターで認識されていないトロイの木馬ですとか. その場合には、そちらを発見する事の方が先決事項になるかと思います.

共感・感謝の気持ちを伝えよう!

質問者からのお礼

他の不正プログラムですか・・・。 思い当たらないです。。 ウィルスバスターで認識されていないトロイの木馬から 作成されているとしたら情報が上がってくるのを待つしかないですね・・。 ご回答頂き有難うございました。

関連するQ&A

  • レジストリの変更で不具合が起こる可能性

    自分はレジストリをいじったことはほとんどないのですが、レジストリを変更したことによって不具合が起こる可能性はあるのでしょうか?OSはWindows7です。 例えば、自分は現在次のレジストリを変更しています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun また、レジストリ関連でもう一つ質問したいのですが、レジストリの作成、追加・削除方法は次の通りで合っていますか? 追加する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=91 削除する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=- これをそれぞれメモ帳に書いて、「.reg」ファイルとして保存する。 これらのレジストリを適用する場合、「.reg」ファイルをダブルクリックする。 回答よろしくお願いします。

  • レジスト削除したいのですが

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\MagnaCartaこのキー削除しなさいと聞いたのですが手順教えてください ウインドーズ98SEです

  • スパイウェアの削除方法について・・・

    PCからたくさんのスパイウェアが検出され、 その大半は削除できたのですが、 以下のファイルは手動でないと削除できないようです。 その削除方法を教えてください。 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-21-2307437357-1763808397-3916703754-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 CnsMin: ライブラリ (ファイル, nothing done) C:\WINDOWS\Downloaded Program Files\CnsMin.dll

  • Realspyの削除について

    CAオンラインスキャンで検索してみたら Spyware "Spyware.RealSpy" 検出箇所: Key "hkey_local_machine \software\microsoft\windows\currentversion\shareddlls" value "c:\windows\system32\actskin4.ocx" data "1" が検出されました。spybot.ad-awareでは検出できません。削除方法を教えてください。

  • Windows起動時のエラー表示

    Windows起動時の添付画像のエラー表示されます。 webで調べて、レジストリの .HKEY_LOCAL_MACHINE ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥run HKEY_CURRENT_USER ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥run など不要なものを削除し、 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup なども削除し、msconfigのシステム構成も、整理しましたが、解決できませんでした。 お詳しい方がいらっしゃいましたら教えてください。 よろしくお願い致します。

  • Infostealer.Gampassというウィルスを手動で削除するときの問題点

    norton internet security2006で検査していたらInfostealer.Gampassというウィルスが発見されました。 これは手動で削除する必要があるとでたので http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-111201-3853-99&tabid=3 で掲載されている方法で削除しようと思ったところ、 4. レジストリから値を削除する という項目の 4.次のサブキーへ移動して、この脅威を参照しているレジストリエントリをすべて削除します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にいったところ、この驚異を参照しているレジストリエントリ(Infostealer.Gampass) が見当たりませんでした。 なぜないのでしょうか? ここからどのような対処をとればよいでしょうか? よろしくお願い致します。

  • ちょっと気になる

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runの中身にあるものすべて削除していいのですか? 削除してはいけないものもあるんですか?

  • crss.exeが削除できません

    会社内の1台のPC(NT)でウイルスチェック(NortonAntivirus)をかけたら、 C:\WINNT\system32下に「crss.exe」(Trojan.Horse)が検出されました ノートンでクリーニング、削除、隔離しようと試みましたが失敗します (最近(?)の定義ファイルにアップデートのはず…です) いろいろと調べましたがレジストリ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CRSS や ~\RunServices\CRSS もありません 削除する方法を教えてください

  • TROJ_BRISS.Hというウイルスが検出されたのですが・・・

    TROJ_BRISS.Hというウイルスがウイルスバスターで検出され、隔離されたのですが、よくわかりません。 トレンドマイクロのウイルス検索で検索したところレジストリ値がかえられてしまうということだったので、直ぐに手動削除手順というのを見ながらやってみる事にしたのですが・・・ まずファイル名を調べるという事だったので調べるとBRIDGE.DLLというものだったのでタスクマネージャーを開いて探してみたのですがありませんでした。 だから一応レジストリ値も見てみたのですが、HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Runという場所には何もありませんでした。 この場合ウイルスが検出されただけで実行はされていないのでしょうか??

  • qoqudmtoというEXEファイル

    qoqudmto.exeというファイルが勝手に生成されて困っています。 このファイル自体、無害なのか有害なのかさえ分かりません。 このファイルには、 Qernel Mode Drive Manager 会社名:Four-F と説明されていますがネットで検索してもあまり出てきません。 ログインすると、 C:\Documents and Settings\<ユーザー名>\Local Settings C:\WINDOWS\system32 の2箇所に生成されます。 セーフモードでファイルを削除したりレジストリを削除しても次に起動するときには 自動でファイルが生成されたりレジストリも書き換わっています。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ウィルスソフトでのスキャンでも検出されず、何をしようとしているのか分からず 不気味なので2度と出てこないようにしたいです。 リカバリーも考えていますが、最終手段にしたいと思います。 皆さん、お力を貸してください。 ちなみにOSはXPです。