- ベストアンサー
TROJ_Genericの新種?亜種? 完全に削除できません。
TROJ_Genericの質問は複数ありましたが、解決できなかったので再度質問します。 Windows2000で C:\Documents and Settings\d400192\Local Settings\Tempの中に,ランダムな名前のexeファイルがあります。 ウイルスバスタ(最新パターンファイル)で、「TROJ Generic」に認識されたました。 MicroTorendのオンラインスキャンも同様でした。 ニフティのオンラインスキャンでは、「Trojan-Dropper.Win32.Mudrop.eb」で認識されました。 放置してインターネットをしていると、スパイウエアみたいなファイルが複数発見されましたが、これらは駆除または削除できました。 しかし、「TROJ Generic」だけは、実行中とかで駆除も削除もできません。 セーフモードで削除しても、通常モードで再起動すると また同じフォルダにランダムファイル名で現れます。セーフモードの起動時は現れません。 不具合は、PC起動やアプリケーション、ファイルを開く度に、ウイルスバスターがデフォルトドライブをすべてスキャンして10分間ぐらいかかり、作業ができません。 ウイルスバスタを終了すると、従来と変わりなく作業ができます。 タスクマネジャー、HijackThisやその他のアプリ等で、スタートアップやサービスをチェックしたのですが、特別怪しいものはありません。 但し、レジストリーのスタートアップで「Systems Restart」が調べてもなんなのか判りません。 元凶のウイルスファイルか、レジストリーを探し出す方法は、他にないでしょうか。
- tmsnk
- お礼率66% (8/12)
- ウィルス・マルウェア
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
いろいろ手を尽くしても皆目…という時点で、あくまでもリカバリが推奨ですが。 まだ何か、ということになると…rootkitの介在を疑う余地があるかと。 おそらく、higaitaisaku.com辺りではSilent Runner辺りの出番になると思われます。 http://www.higaitaisaku.com/silentrunners.html でも…これのログ解析はかなり難しそうです。もちろんこの掲示板上で解析することは文字数などからも困難だと思います。このツールを利用されるなら独力で行うよりは、higaitaisaku.comの質問掲示板に移動されるべきでしょう。もちろん、ここでの質問は事前に締め切り、様式にしたがってHijackThisのログ提出から、という既定どおりの手順を踏むべきであることは言うまでもありません。 rootkitそのものを直接調べる対策ツールは各社から無償で提供されています。Sophos、TrendMicro、McAfee、AVG、Panda…それこそいろいろ出ていますが、どれを使えば今回の事例が解決出来るかについては全く確約出来ません。 ちなみに… >但し、レジストリーのスタートアップで「Systems Restart」が調べてもなんなのか判りません。 Systems Restartなる項目が存在するが、どういう意味があるのかが分からない、ということなのでしょうか?例えばこういうページが見つかりました。 http://www.symantec.com/region/jp/sarcj/data/p/pwsteal.tarno.h.html 勘違いのないように申し上げておきますが、あくまでも参考として紹介したまでです。今回の感染の元凶がPWSteal.Tarno.Hであるということではありませんのでくれぐれも誤解のないようにお願いします。 次のような一節があります。 ***** 次の値を "Systems Restart"="%Windir%\slchost.exe" 次のレジストリキーに追加することによって、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Windows の起動時に必ずトロイの木馬が実行されるように設定します。 ***** つまり、こういうことです。 "Systems Restart"という項目の名称は汎用的に使われますから、この名称だけに頼って調べても具体的なことは分からない可能性が高いです。問題となるのはスタートアップ項目として存在するこのキーの中身です。"="として記されているファイルが特定出来れば、それが今回の問題の元凶であるのかも知れません。まぁ、まずはそんな単純なものではないでしょうが。 それにしても…Systems Restartには何と書かれているのでしょうね。 次のようなページも見つけましたが。 http://www.hijackfree.com/en/autorundetails/?name=Systems%20Restart 取りとめのない書き方になり、申し訳ありません。
その他の回答 (3)
- HDKYZK1978
- ベストアンサー率66% (369/559)
横から失礼します。 >しかし、「TROJ Generic」だけは、実行中とかで駆除も削除もできません。 念のため システムの復元 を無効にしてください。 続けて以下の URL を参照してオンラインスキャンを実行してください。 Windows Live OneCare - http://onecare.live.com/site/ja-JP/default.htm Microsoft でのスキャンとなります。 Windows Live OneCare PC セーフティは Microsoft Windows XP/Server 2003/2000 上で動作します。 またプログラムの実行には Internet Explorer 6 以上または MSN Premium が必要です。 ウイルスの検知と除去から PC 内の不要なファイルの削除 そして PC のパフォーマンスの向上まで実行されます。 時間は掛かりますが試してみてください。 なお同じマルウェアでもセキュリティソフト会社によって名前が違います。 宜しければ結果も教えてください。
お礼
遅くなりましたが、回答ありがとうございました。 せっかくご教示頂きましたが、OSのバージョンが低く、バージョンアップも検討しましたが、PC容量が不十分等問題があり、結果的にオンラインスキャンできませんでした。 別の方法で解決できましたので、結果をANo4のryu-fizさんへのお礼欄にて報告いたします。
>Trojan-Dropper.Win32.Mudrop.eb 別の会社の情報ですけど、その名前だとこれの可能性が。↓ http://www.viruslist.com/en/viruses/encyclopedia?virusid=163420 日本のカスペルスキーにはまだ情報がないので確証ありませんが、カスペルスキーのオンラインスキャンで調べてみては。 http://www.kaspersky.co.jp/virusscanner PC全体のスキャンするのが効果的でしょうが、もし本当に感染してたら長い時間ネットにつなぐのもやばいから、下にあるファイルスキャンで怪しいファイルを直接調べるのがいいです。 これで検出されたら本当に感染、そうでなくばウイルスバスターの誤検出かも?
お礼
回答 ありがとうございます。 カスペルスキーのオンラインスキャンで調べました。 結果は、ニフティのオンラインスキャンと同じで、「Trojan-Dropper.Win32.Mudrop.eb」が検出されました。 ニフティは、カスペルスキーを使用しているようで、スキャン画面や操作がまったく同じでした。 「Trojan-Dropper.Win32.Mudrop.eb」の情報も収集していますが、駆除方法等の情報が見つかりませんでした。
- takatosen
- ベストアンサー率37% (378/1016)
とりあえず、こちらのページの対応方法を参考にしてみてください。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGENERIC
お礼
回答 ありがとうございます。 TrendMicroの対応方法は、最初に試しましたが、解決できませんでした。
関連するQ&A
- TROJ_WIKON.AHについて
TROJ_WINKO.AHというウィルスに感染してしまいました。 ウィルスバスターのHPにあるとおりセーフモードで起動し、A9235274.dllファイルを削除しましたが、通常モードで起動したらまた作成されています。 このウィルスを駆除する方法を教えていただけませんでしょうか?レジストリを削除したり、いろいろ今日一日やりましたが駆除できません。 非常に困っています><
- 締切済み
- ネットワーク
- 削除してもまた現れる。
windows XP(SP1)でc:\windows\system32の中にintarnet.DLLというファイルがあります。 このファイルはTROJ Genericというウィルスに感染しているので削除しようとしても削除できません。またセーフモードで削除しても、再起動するとまた同じフォルダに現れます。 システムの復元は切ってあるのに、何故削除してもまた現れるのでしょうか。完全に取り去るにはどうしたら良いのでしょうか。 同様にintarnetkey.DLLというファイルがsystem32の中にあり、これもTROJ Genericに感染していて削除できるのですが再起動するとまた同じフォルダの現れます。こちらの方も完全に取り去るにはどうしたら良いのでしょうか。
- 締切済み
- ウィルス・マルウェア
- Trojで困ってます
TrendmicroのウイルススキャンにかけてみるとTroj_Swizzer_EFというウイルスに感染したようで、2~3分経つとパソコンがかなり暗くなります。今もライトを当ててなんとか見える程度で・・。 で、他のTrojウイルスも何個かあったのですが、それはセーフモードで削除できました。しかしこのTrojだけはセーフモードでも確認できず、除去にいたりません。どうしたらよいでしょうか。SpybotもAd-awareも試してみたのですが無理でした。
- ベストアンサー
- ウィルス・マルウェア
- TROJ_SMALL,FWが削除できない
TROJ_SMALL,FWに感染してしました。ウイルスバスター2004で検出されましたが駆除、隔離できません。OSはwindowsXでP感染ファイルはC¥WINDOWS¥system32¥child.dllと記されましたので普通に削除を試みたところできませんでした。ちなみにセーフモードでも同じでした。また、トレントマイクロの手動削除手順に従いましたがHPにあるようなレジストリの値が発見できません。初心者で分からず大変困っています。どうしたらよろしいでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- WORM GENERICの駆除ができません
ウィルスバスター2009を使用してるのですが、 WORM GENERICというウィルスが見つかりました。 ネットで駆除方法を探してみると、同じような内容があったため その方法で試そうとしましたが、できませんでした。 以下がその方法です。 セーフモードを使ってそのファイルを検索し、 削除しようとしたのですが、使用中のためできませんでした。 それでだめなら、セーフモード中にコマンドプロンプトを起動して ファイルを移動させてから削除する。と書いてたのですが、 コマンドプロンプトのコードの入力がいまいち分かりません。 よければ、コマンドプロンプトでどう入力するか教えて頂きたいです。 もしくは他に駆除方法がありましたら、アドバイスお願いします。 削除しようとしてるファイルは C:\WINDOWS\system32\duser31.dll です。 よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- TROJ_STARTPAG.Gのはずなのですが……
TROJ_STARTPAG.Gらしきものに感染しているのですが、 駆除できません(TT)(PCのOSはXP Pro、IEは6です) C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP にse.dllファイルが存在し、IEのスタートページが変更されていましたので、 TROJ_STARTPAG.Gだと判断して http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_STARTPAG.G のページの対象方法を行ったのですが、 ・ダメージクリーンナップサービスをセーフモードで実行してもCountをゼロと判定 ・ウィルスバスターでスキャンしても感染ファイルが検出されない となってしまい、 手動でHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run のspの値を削除し、se.dllを削除しても、IEを起動するorPC再起動で元に戻ってしまいます。 (システムの復元はオフです) セーフモード起動時にse.dllを削除した直後、IEを起動したら そのタイミングでse.dllが出来たので、ウィルスはその関連場所に 居るのでは……??と考えてますが、いかんせん検出されないので 駆除もできずに途方に暮れてます。 どなたか、この現象の対処方法について存知の方がいらっしゃったら 教えてもらえないでしょうか?? (もしかして根本的な勘違いをしてるのかもしれませんが……)
- 締切済み
- ウィルス・マルウェア
- ファイルの削除/レジストリからの削除できないので困っています
ウイルスに感染してしまい、駆除しています。 感染時はウイルスバスターは入れていなかったのですが、今は入れました。 現時点での症状は、ウイルスバスターが定期的にTROJ_DLOASER.APRとTROJ_DLOADER.BKHを検出して隔離を繰り返しています。 最初に感染したときにできたファイルでどうしても消せないファイルがあり、困っています。 windows\system32\browsela.dllというファイルです。 ウイルスバスターでは特に検出してくれるものではないのですが、 QNo.1893154「TROJ CWS.ABに感染」の「ANo.#4」にあげられているので、 このファイルを消した方がよいのかと思っています。 レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela で起動されていることらしいことはわかったので、このレジストリを削除しようとしたのですが、 すぐに復活してしまいます。 また、変更をしてもすぐに復活してしまいます。 セーフモードで起動しても同じです。 レジストリを消して、ファイルを消せばよいのかと考えていてこの質問をしているのですが、 このレジストリの消去方法またはファイルの削除方法をご存知の方はいませんでしょうか? どなたか助けてください。 お手数をおかけしますが、よろしくお願いいたします。
- 締切済み
- ウィルス・マルウェア
- TROJ_YATAK.Aについて
ウイルススキャンでTROJ_YATAK.Aが見つかり、http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_YATAK.A にあるとおりにレジストリを削除しようとしたところレジストリの HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run どちらにもTROJ_YATAK.Aで検出されたファイル名がありませんでした。そして、ファイルを削除してウイルススキャンしたところ、次は何も検出されませんでした。このとき、ウイルスが駆除されたと思ってもよろしいのでしょうか? ちなみに、ファイルの場所は web.exe (C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-6473b14a-30914df7.zip) です。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬が削除できません
ウィルスバスター2007にてスキャンした所、以下のウィルスが 発見されました。 ウィルス名 :TROJ_AGENT.PVC 感染ファイル:C:\WINDOWS\system32\disone.dll ウィルスバスターでは隔離・駆除出来ないとのことで、 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EPVC&VSect=Sn のページにて指示に従い、セーフモードで手動削除を試みたのですが、レジストリキーは削除できたのですが、感染ファイル「disone.dll」 を削除しようとすると「ほかの人またはプログラムが使用中のため削除できません」というメッセージが出て削除できません。 disone.dllにて検索し引っかかったレジストリは全て削除したのですが、再起動すると復活しています。 IEを起動しネットに接続するとページ移動する度にウィルスバスターが TROJ AGENT.PVCを検出します。 当方、あまりPCには詳しくない為、どなたか知恵をお貸しください! 宜しくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- 「TROJ_Generic.Z」の削除方法は・・・?
ウイルスバスターでウイルス/スパイウェア検索をしたら、「TROJ_Generic.Z」というスパイウェアが2件あり、実行した処理が「不明」とありました。ウイルスバスターのHPで詳細を確認しましたが、よく分かりませんでした。このまま放置してて大丈夫なのでしょうか?出来れば削除したいので、分かる方いれば教えてください。ちなみに使っているパソコンはwindowsXPです。
- ベストアンサー
- スパイウェア
お礼
発見しました。 通常モードでは、なぜか検出できなかったのですが、セーフモード+ネットワークで起動して,カスペルスキーオンラインスキャンをしたら、下記ウイルスを検出しました。 分類名:Backdoor.Win32.Webdor.ay ファイル名:Clearsys.exe(属性:隠しファイル) 場所:C:\Documents and Settings\All Users\Application Data\Windows Media Directory\ スタートアップのレジストリーキー HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に次の値がありました。 "ImMSN"=C:\Documents and Settings\All Users\Application Data\Windows Media Directory\Clearsys.exe "Systems Restart"="" 上記ファイルを隔離したら、通常モードで起動しても、TROJ_Genericは作成されませんでした。 アドバイスを頂いておかげで、なんとか解決できました。 ありがとうございました。
補足
回答 ありがとうございます。 内容は、かなり専門的になりそうですが、何か光が見えた様な気がします。 higaitaisaku.comで、HijackThisを知り、ログの解析もしましたが、発見できず、ログ提出も無駄かなぁとあきらめていました。 教示頂いた内容を参考に、再度挑戦してみます。 時間がかかりそうですが、結果はお礼かたがた報告します。 尚、レジストリーの「Systems Restart」の値は、空白になっています。