- ベストアンサー
RootkitとTrojianの駆除方法を教えてください
かなり以前に中古で買ったままだったノートPCを最近家内用にセットアップしてみた所、以下のように2つのウィルスが発見され、隔離したとのメッセージが出ました。(OS : Windows2000, ウィルスセキュリティー使用) 1.隔離ファイル名:netdtect.sys 説明:Rootkit.Win32.Agent.pr 2.隔離ファイル名:runtime.sys 説明:Trojian.Win32.Pandex.S (隔離前のファイルの場所は、どちらもC:\WINNT\system32\driversです。) まず、「隔離したので安全です。」とメッセージは出ていますが、本当に安全なのでしょうか? ウィルスセキュリティーでは、毎回PCを立ち上げる度に上記ウィルスの発見と隔離のメッセージが出るので不気味です。 また、安全であったとしても、出来れば駆除してメッセージそのものを出ないようにしたいのですが、隔離ファイルを削除しても次回立ち上げ時にはまた出てきます。 人に話を聞いても、この「教えて!Goo」で調べても駆除はかなり厄介そうですが、出来ればリカバリーでなく、ウィルスだけ駆除してしまえる方法か、フリーのアンチウィルスソフト等あれば教えてもらえませんでしょうか? 宜しくお願いします。
- taka1963
- お礼率88% (46/52)
- ウィルス・マルウェア
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
検出されているファイルは、一応システムファイルとしてOS上に登録されていると見られます。Windows2000にはシステムファイル保護機能が働いており、隔離や削除を行ってもその都度この種のファイルが復活する可能性があるように思われます。 より確実に削除を行うために、一度システムをセーフモードで起動した上で手動で削除を行ってみてください。 もし検出されたファイルの削除に成功した場合でも、それ以外の感染が隠れている可能性が十分にあると思われます。出来れば検出力に定評のあるカスペルスキーのオンラインスキャン辺りでセカンドオピニオンを求められるのがよろしいかと。 http://www.kaspersky.co.jp/virusscanner 検出されたファイルの復活が止められない場合も含め、何らかの感染が残るようであれば、感染の除去にこだわるよりは再セットアップを選択されるべきでしょう。 何故に、セットアップ直後のPCがいきなり感染してしまうのか?セットアップ後、ウイルス対策ソフトを導入されるまでの間の手順に何らかの問題があったためだろうと推測されます。次のページを参考にして、思い当たる節がないかどうかを確認してください。 http://iwata.way-nifty.com/home/2004/10/1017.html 数年前に比べて、ネット事情は確実に悪化しています。現状では、個人利用のPCがネットワーク越しに直接開きポートを狙われて感染に至るケースが珍しくなくなっています。 ですので、ブロードバンドルーターやウイルス対策ソフトなどに含まれるファイアウォールが全く有効になっていない状態で、Windows Updateを行ったり、ウイルス対策ソフトをダウンロードしたりすることはかなり危険なことだと言えるのです。 5年くらい前は大丈夫だった筈…でも現状ではダメなのです。
その他の回答 (4)
こんにちは。 F-Secure ウイルス情報です。 http://www.f-secure.co.jp/v-descs/v-descs3/AgentEOA.htm マルウェアが動作するために、以下のレジストリが作成されます。 > 毎回PCを立ち上げる度に上記ウィルスの発見と隔離のメッセージが出る レジストリが作成(改変)されているためと思われます。 レジストリエディタで対応できると思いますが、下記も参考にされてください。 http://www.higaitaisaku.com/htkaiseki.html#O7 レジストリを扱うときは、必ずバックアップを作成しておいて下さい。 上記 higaitaisaku.com で対処されるのも一案と思います。 (この場合はOKWaveの質問は締め切って下さい)
お礼
有難うございました。頂いた情報を基に駆除に取り組んで見ます。
- seadragon
- ベストアンサー率44% (361/820)
フリーのアンチウィルスソフトでRootkitを駆除するのは難しいです。 専用ソフトの体験版で駆除してみて下さい。 Webroot Spy Sweeper http://www.webroot.com/jp/downloads/?id=JP-NAV-HSB-Downloads ネットの脅威はよりひそかに、そして確実に http://www.itmedia.co.jp/enterprise/articles/0712/26/news006.html とあるようにネット環境は悪化しています。 ウイルス検出テスト:独自サンプルの検出率に違い http://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/ にあるように信頼性の低いウィルスセキュリティーではなく カスペルスキーやF-Secureのような高信頼性の製品を使用した方が賢明です。
お礼
有難うございました。F-Secureという名は、今回のウイルス駆除で色々調べている際に知りました。試してみます。
2番目はトロイの木馬というウイルスです。 駆除の方法です http://www.higaitaisaku.com/vundofix.html
補足
教えていただいたvundofixというソフトを使ってScanしてみましたが、何も見つかりませんでした。 VundoFixのサイトの説明では、Trojan.Vundoの駆除となっていますが、私の場合のTrojan.Win32.Pandex.Sというのも同じ物と理解して良いのでしょうか?
>Rootkit これはとても古いウイルスですが削除するのは難しいのです。 資料です http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E3%82%AD%E3%83%83%E3%83%88
補足
やはりウイルスだけ駆除というのは難しそうですか…。 もうひとつお伺いしますが、OSの入れ直しとなったら、どういう手順で行うのでしょう? いきなりHDDにフォーマットかけ直してからCDでOSの再インストールでしょうか?もしそうだとしたら、フォーマットはWindowsから行えば良いのでしょうか。或いは、コマンドプロンプトからFORMATとかのコマンドを入れるのでしょうか。 教えていただけますか?
関連するQ&A
- カスペルスキーとRootkit
QNo.3764267で質問した者ですが、どなたからもアドバイス頂けませんでしたので、質問の仕方を変えてみます。 どなたか詳しい方、アドバイスをお願いします。 1. 以前PCがRootkitに感染していましたが、色々駆除の努力をした結果、取り敢えずアンチウィルスソフトウェアで検出報告がなくなりました。(OS : Windows2000, ウィルスセキュリティー使用) 確認の為カスペルスキーのオンラインスキャンを行いました(ターゲットはマイコンピュータを選択)が、何も検出報告はありません。 この状態は、完全に安全な状態と判断していいでしょうか? 2. Rootkit検出当初は、以下のような報告が出ていました。 >隔離ファイル名:netdtect.sys 説明:Rootkit.Win32.Agent.pr 感染報告が無くなっても、C:\WINNT\system32\drivers に netdtect.sys は未だにあります。 カスペルスキーでこのファイルを指定して調べましたが、問題は無いとの結果でした。 このファイル自体は、本来存在しても良いのでしょうか? 以上、ご意見、アドバイスをよろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- Rootkitの駆除方法 ルートキット
セキュリティソフトが「Rootkit.win32.Agent.abmh」というウイルスを頻繁に検知します。 セキュリティソフトはカスペルスキーKaspersky Internet Security 2010です。 起動しておよそ30分で下記のような再起動を促すメッセージが表示され、再起動後もやはり30分ほどすると同じメッセージが表示されます。 --------- 警告 --------- Kaspersky Internet Security 2010 は、悪意のあるソフトウェアを検出しました。 特別な駆除を実行するには、Windowsの再起動が必要です。 作業中のデータを保存し、ほかのアプリケーションをすべて終了してください。 特別な駆除を実行しますか? オブジェクト:C:\WINDOWS\system32\drivers\vmawgoe.sys ウイルス:Rootkit.win32.Agent.abmh →はい、実行する(推奨) 特別な駆除を実行し、Windowsを再起動します。 →いいえ、実行しない 選択した処理を実行します。 --------------------------- 完全に駆除・修復するためにはどのようにすればよいでしょうか? アドバイスお願いします!
- 締切済み
- ウィルス・マルウェア
- Hacktool.Rootkit を駆除できないのですが
win2000で、system32の中にremon.sysと言うファイルが、Hacktool.Rootkitというウイルスに感染しているのですが、セーフモードで削除しても再起動後に復活しています。レジストリの削除も試みましたが、エラーで削除できません。 どのようにすれば駆除できるのでしょうか? ウイルスソフトは、シマンテック社製を使用しています。 よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- Hacktool.Rootkit
現在、使用しているPCについてですがこれまで特に何も無かったのですが急にUSBメモリーを使おうとすると「Hacktool.Rootkit」が検出されるようになりました。 ウイルス対策としてsymantec Endpoint Protection」を使っているのですが検出後「削除によってクリーニングされました」とコメントが出て、その後完全スキャンしたのですが何も検出されませんでした。 そこで、もう一度USBを使おうとするとやはり同じように「Hacktool.Rootkit」が検出されてと、これの繰り返しです。 どのように対処すればよいのでしょうか? やはりリカバリーしかないのでしょうか? 感染したのはWINDOWS\system32\driversで感染したファイル名はklif.sysです。 よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- TROJ_ROOTKIT.CGに感染した場合の駆除
TROJ_ROOTKIT.CGなるウイルスに感染してるそうです ノートン、マカフィーのオンラインスキャンでは検知されませんでした がバスターで検出されました 手動削除にて駆除するみたいですが駆除するホルダー名がVIRUSらしい んですがファイルがみつかりません バスターの誤検出なんでしょうか? 同じような経験のかたいませんか
- ベストアンサー
- ウィルス・マルウェア
- ウイルス駆除方法 new win32
昨日、ダイアルアップ環境のパソコンでネットにつないでいたら 「new win 32」というウイルスに感染しました! というマカーフィーの警告が出ました。 実際に、マカーフィーでスキャンすると300近くの感染ファイルが 見つかり、ビックリしています。 駆除しようしても、「駆除できません!」というメッセージが 表示されてしまいます。 この場合、隔離だけでよいのでしょうか? ぜひ、駆除の方法を含め、パソコンを安全に使えるように するための方法をお教えください。 なお、メールの添付ファイルを開いたり、ダウンロードした ことはありません。 感染の原因がわからないのも不安の原因の一つです。 アドウエアには、以前、感染したことがあり、隔離の状態 で使っています。
- ベストアンサー
- ウィルス・マルウェア
- 駆除も隔離も出来ません・・・
2日ほど前にウイルスに感染しました。 ウイルスバスター(2003)で検索し、駆除を 試みたのですが、駆除はおろか隔離すら出来ません・・・。 ウイルス名は VBS_REDLOF.A-GEN VBS_REDLOF.A-3 VBS_REDLOF.A-Oというものです。 また、そこにはウイルス名のところに「___」と書かれているものも あります。これは何なのでしょうか? 今のところパソコンに影響は無いようですが、心配です。 どのようにしたら駆除もしくは隔離できるのでしょうか? パターンファイル番号は439、 検索エンジンのバージョンは6.51です。 ちなみに体験版でおとといウイルスを発見し、 昨日、製品版を購入、アップデートしました。 まだまだわからないことばかりなのです・・・。 よろしければわかりやすく教えていただけると嬉しいです。 あと、隔離に成功したファイルの中で、 「バックアップされたファイルです」というのがあるのですが、 これはもう削除しても何も問題はないでしょうか? いろいろ質問して申し訳ないのですが、 よろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- WORM_AGOBOT.JFの駆除方法
WORM_AGOBOT.JFというウィルスの駆除方法が 分かりません。 駆除も隔離も出来ませんと出てきました。 ウィルスバスター2004のウィルスデータベース で調べてみたところ、英字ばかりで読めません。 また、WORM型ウィルスという事で、ダメージ クリーンナップサービスを実行し駆除しようと しましたが、全く効果なしです。 ウィルスによる被害は、まだ出てないようですが (気付かないだけかも・・・)PCを起動する度に WORM_AGOBOT.JF(感染ファイルを隔離できません) と出るので、怖いです。また、このウィルスと同時に DOS_AGOBOT.HMの表示も出てきます。 (このウィルスは、隔離成功してます) どなたか、駆除方法(対策)を教えてください。 ※WORM_AGOBOT.JF 感染ファイル:C:\WINDOWS\SYSTEM32\MSAWINDOWS.EXE ※DOS_AGOBOT.HM 感染ファイル:C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
- ベストアンサー
- ウィルス・マルウェア
- ウィルスが駆除できません
WinXPのパソコンを使っています。 最近ウィルスセキュリティZEROをセットアップし、アップデートを終えて再起動したとたん、ウィルスセキュリティがNet-Worm.Win32.Allaple.aを見つけました。 隔離したので安心してくださいと表示され、その後、念のため手動でウィルススキャンを試したのですが、何度スキャンしても、また見つかってしまいます。 3回目くらいで、感染ファイルは0になりましたが、再起動すると同じように、見つけたので隔離しました、ご安心くださいなどと表示され、スキャンをするとまた見つかります。 OS再インストールしか手はないのでしょうか? 駆除はできないということなんでしょうか? 駆除しないまま使用しても問題ないのでしょうか? どなたか、詳しい方教えていただけませんか。 よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
お礼
有難うございました。 今回質問していたこととは違いますが、『何故に、セットアップ直後のPCがいきなり感染してしまうのか?』と言う説明は、非常に参考になりました。確かに思い当たります。 実は、この中古PCを売った人を無責任だとちょっと恨んでおりました。自分が悪かったんですね。納得しました。