- ベストアンサー
トロイの木馬で困っています
自分のPCではないのですが、処置を任されてしまいました。 本体の様子を診ていると、最初に聞いていたよりも重症だという事がわかりました。 週一で対処しに行っていますがスキャンだけでも時間がかかり、また状況を記憶して自分の環境で試したり情報を集めて対策を考えるということを繰り返しています。 しかし時間的にも体力的にもかなり限界に近いのです。 どなたか同じような状況を経験した方、また対処法のわかる方、手を貸して頂けませんでしょうか? 事情があってリカバリ以外の方法で対処を必要としています。 経緯と状況: スパイボットが起動しない。オンラインスキャンができない(セキュリティー関係のサイトへのアクセスが封じられている)ということで相談され、トロイの木馬からのトラブルと予想。 行ってみるとシステム音源が死んでいました。 メディアプレイヤーも起動しないようです。 セキュリティーソフトは期限切れという事で、avast!をディスクに焼いて持って行きインストール。 スキャンの結果、複数のトロイ+アドウェアなどを確認。症状からTrojan.Perfcoo、Trojan.Virantix.Cを確認。高い確率でW32.Rispif.Aと思われるものも確認したのですが、行く度に大量に出てくるので全ての正体はわかっていません(avastなので…)。 また、スタートメニューの中に実行ファイルは存在しないことは確認済みです。 オンラインに繋ぐと動き出すものもあったが発見したものは全て削除。 hostsにはローカル以外のアドレスが1つ書き込まれていたのでそれを削除。 C\に謎のファイルが2つあったので削除。 とりあえず全て削除したものの、予想内でしたが_RESTOREにも書き込まれているらしく復活してくるのでシステムの復元を試みようとしていたけれど、その日は時間切れで次回となり…次に行った時にはSystem Volume Informationフォルダへのアクセスを拒否され、システムの復元ではカレンダーが白紙で表示される状態です(前回はSystem Volume Informationフォルダにアクセスできた)。 System Volume Informationは,プロパティーにはファイル数0と出ますがスキャンしてみるとファイルは存在しているので、ファイルの関連付けが壊されているか…何かでブロックされているようです(カレンダーが白紙なのもそのせいか?)。 どうやってもSystem Volume Informationにアクセスできないので、「システムの復元を無効にする」で_RESTOREは削除しました。また診に行ったときにおかしくなっていても大変なので。。 修復について: システムの復元を諦めましたので、レジストリの修正と回復コンソールになるかと思いますが、ずっと見ているわけではないのでどこをどれだけ修正すれば良いのかが現在のところわかりません。 とりあえずは、System Volume Informationにアクセスできない原因をはっきりさせて直したいです。 その他、これらのことから考えられることや、その対処法などもご享受いただければ大変助かります。
- Lancelot
- お礼率76% (39/51)
- ウィルス・マルウェア
- 回答数10
- ありがとう数9
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
ユーザーが多いと思われるスキャナーソフト A-Squared free ----- Emsisoft Ad-Aware 2008 ----- Lavasoft Dr.Web CureIt! ----- netforest Malwarebytes Anti-Malware ----- Malwarebytes MicroWorld Antivirus Toolkit Utility ----- MicroWorld Technologies Inc Norman Malware Cleaner ----- Norman RemoveIT Pro v4 SE ----- InCode Solutions SUPERAntispyware ----- Superantispyware.com Sophos Anti-Virus for Win32 CommandLine Interface ----- Sophos Plc. Spyware Doctor Starter Edition ----- PC Tools Spybot Search & Destroy ----- Safer Networking もちろん、これ以外にも↓たくさんある。 http://cowscorpion.com/Software/cate_Security.html ユーザーが多いと思われるクリーナーソフト Argente System Cleaner ----- Argente Software ATF Cleaner ----- atribune.org CCleaner ----- CCleaner.com Glary Utilities ----- Glarysoft Wise Disk Cleaner ----- WiseCleaner Wise Registry Cleaner ----- WiseCleaner もちろん、これ以外にも↓たくさんある。 http://cowscorpion.com/Software/Cleaner.html ところで、私は「データのバックアップ→リカバリ」をお勧めします。
その他の回答 (9)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
6番目に回答した者です。 >仰っていることは私は十分理解しています。ですから勿論ネットには接続しないよう指示しています。 承知。ですが…削除しても次々に新しいものが見つかっている状況からは、ダウンローダー系の感染が悪質なサイトから新しい感染を次々と呼び込んでいるような感じに見受けられて仕方がありません。質問者さんの指示が守られていない可能性もあるのではないでしょうか。だとすると…このままでは何をやっても改善の見込みはないと思います。 >higaitaisaku.comは過去ログを利用した事があるので最初に覗きましたが、回答者が不足しているという現状で、折角アドバイスいただいたとしても、こちらが週一で、ほんの数時間しか確認や対処が出来ない状況ではご迷惑かと思い、私の方で解決しようとしている次第です。 今回のような複合的な感染に対処するためには、十分な解析作業が必須と考えられます。それも5番さんが指示されているHijackThisやSilentRunnersは基本中の基本として取り敢えず提示されているに過ぎず、その結果を踏まえてComboFixやSDFixといったより高度なツールの利用も行わなければいけない可能性もかなり高いと思います。 末期ガンに近い致命的な状況だと既にお話しました。higaitaisaku.comは本格的なマルウェア駆除サイトとしては日本語圏でほぼ唯一のサイトだと言えます。ここのお世話になるしか完治の見込みはまずないと言っても過言ではないでしょう。 質問者さんに時間的な余裕がないというのも分かりますが…週一ペースでしか対応が出来ないのではどうしようもありません。問題のPCのユーザーさんがご自身で対処する所存がなければ、あちらに行ってもどうしようもないような気もします。 >恐らくきっと、また問題を起こすだろうと予測していますので、全てのレジストリを修正できなくても、感染のない状態でとりあえず動けばいいかと考えています。 今回のような深刻な症状が良くならないのは、根本にある感染が叩けていないからに他なりません。『感染のない状況』に持っていくこと自体が、最早エキスパート以外の力では無理であると申し上げているのです。 人間の病気でもそうですが…風邪の諸症状となる発熱や頭痛などをいくら薬で抑えたところで、すぐまたもとの状態に戻ってしまいます。根治出来ない状態で十分だ、というような現在の質問者さんの考え方は危険だと思います。 結果的に、ダメだしに終始することになって申し訳ないのですが…これまで通り質問者さんが週一ペースで対処に当たるというスタンスが変えられない限りは、最早手詰まりの感があります。言うべきと考えることはほぼ言い尽くしましたので、今回が私の最後の回答になると思います。 暴言と受け取られても仕方ないですが…質問者さんにおかれても、もう匙を投げられた方がよろしいように強く感じます。 本当の最後に… >ここに質問を置いておくこともご迷惑になるのでしょうか? 個人的にはそのように思えませんし、私も自分の質問数が回答数を越えないように気をつけているつもりです。 それでも問題がある場合は質問を締め切りますのでご指摘ください。 マルチポストという言葉をご存知ないでしょうか? http://www.ippo.ne.jp/g/53.html 質問数が回答数を超える云々を別にして、同一内容の質問を複数の掲示板で行うことについては、上記URLに書かれているように様々な問題があるのです。 更に言うと…仮にhigaitaisaku.comのお世話になることにした場合、それは重病患者が権威のある病院に入院して治療を行うことに匹敵します。そういう状態にある人が、勝手に他の病院で処方された薬や薬局で購入した薬を飲んだり、あるいはどこかで別の手術や療法を受けたりするなんてことがあるでしょうか? hitaitaisaku.comで質問すると同時に、他の掲示板での質問を並行して行うことはそれに限りなく近いことをやることになると私には思われます。なので、あちらに行く場合はこちらを締め切るように、とアドバイスした次第です。無論これは今回のケースに限らず、他の方の質問に対してhigaitaisaku.com行きをお勧めする際にはいつでもそのようにしております。
お礼
自力で根治できました。レスありがとうございました。
補足
私の指示を守っているかどうか判らないと仰られては…確かにそこは信じるしかないので何とも言えませんが。。 根治を目指してないというのはちょっと違うのですが、マルウェアは全て排除してもレジストリの修正までは完全にできない(というかやってられない)かなということなんです。勿論そういう処置で十分だとは思いませんが、自分のPCではありませんし、仕事ではなく頼まれ事ですので、私にも時間的体力的に限界があってここで相談させていただいたのです。 親切にいろんなツールを紹介してくださる方もいて感謝しています。 ryu-fizのレスも暴言だとは思っていません。 ただ… higaitaisaku.comを頼らない理由を前回のレスに書きましたが、それでもマルチポストを行うだろうと危惧されているのだなと思うと残念ではあります。。
質問者さんの手順では、タスクマネージャで怪しいプロセスを停止するステップが欠けていますよ。これを忘れると、怪しいdllやexeを何度削除しても復活しますし、外部から怪しいプログラムが繰り返し侵入してきます。また、侵入したマルウエアの情報が断片的なので、対処方法が思い浮かびません。 以下は、必要に応じて、セーフモードで試してください。 まず、マルウエアの正体や振る舞いをネット検索してください。いろんなデータベースが公開されていて、特にプロセスの名称と感染場所、書き換えるレジストリエントリを知ってください。十分に情報を集めてから、一個ずつ根絶やしにしましょう。 1.システムの復元を無効化し、各tempフォルダーを空にする。 2.タスクマネージャで怪しいプロセスを停止する。 3.怪しいdllやexeを削除する。ここで、いろいろな駆除ソフトをありったけ投入。 4.レジストリを修正する。 5.ディスククリーナーやレジストリクリーナーで徹底的にPC内を掃除する。 で、回復コンソールとか、上書きインストールとか。 一番難しく大切なのはマルウエアの情報の収集です。また、各ステップにふさわしいソフト(AFT-cleaner、Glary Utilies、eScan、Malwarebytes'など)がいろいろあります。 http://cowscorpion.com/Software/cate_Security.html 個人的には、他の質問者さんに同意。各ソフトの入手先はネット検索で分かりますから本人に任せればいいし、データのバックアップを取ってリカバリすれば簡単に解決すると思います。
補足
gh8gh8レス有り難うございます。 質問内容に不備があり申し訳ありません。 ご提示くださった手順の3までは済んでいる状況です。 レジストリの修正なのですが、他人のPCなので出来れば直に触りたくないのが正直なところですが…触るなら確定情報がほしいという思いで質問させていただきました。 見に行った時点でTrojan.Virantix.Cのバルーンが出ていたので、いろいろされた後だと判断しています。実際スキャンで多くのトロイが検出されましたし…。 こちらで用意したavastで掛かったものは全て隔離しました。レジストリの改ざんは残っているかと思うのですが「また何か問題を起こすだろう(PCではなく人間が)」と予測していますので、レジストリを触るのは必要最小限にしたいのです。残っているものの多くはゴミだと思いますから…。 しかしやはりレジストリクリーナーを使っておくべきでしょうか?レジストリクリーナーは自分では使用した事がないのですが、お詳しいようなので、もしお薦めなどがありましたら教えていただけましたら幸いです。 …確かに。本人に任せられれば良いのですが。。 OSって何?状態なので…。
- 25685Mhz
- ベストアンサー率10% (2/20)
とにかく「System Volume Informationにアクセスできない原因」にこだわっているようだが、通常はアクセス拒否。 でも、システムの復元をすべてのドライブで無効にしたら、そこがアクセスできなくなっていても通常のことだし、その中にアクセスする必要は感じないけど。古いものがすべて削除されるから。 プログラマーやる人だから釈迦に説法だろうが、見えないものまで探るならルートキットスキャナー、 RootKit Hook Analyzer http://www.resplendence.com/main 壊されたものの修復方法はわからないが、ネットができるところをみると悪意ある人物たちの利用品ではないのか。
お礼
レジストリの修正で解決しました。とりあえずマルウェアと不正なレイジストリは消滅状態です。 もし何か使用に支障があれば、またその際にレジストリが改変されていないか調べてみようと思います。 便利なツールを教えていただいたので(使用することがあるかもしれませんし)ポイントを差し上げたいところなのですが、今回役立ったものを教えてくださった方優先にさせていただきました。
補足
25685Mhzさん、再度レス有り難うございます。 System Volume Informationにアクセスしたいのは、これが原因でシステムの復元がブロックされているからなんです。 今は復元ポイントを作らないよう設定していますが、PCの問題が解決して安定した状態から復元ポイントを作り、何か不具合が出たときにはそこから復帰させたいと思っているわけです。 …他人のPCなので何をやってるかの全ては監視できませんので。。 実は、どのレジストリが関係しているかまでは大体わかっています。ただ、それが現在の症状を改善するのに確実なのかどうかは、相手のPCが手元に無い故に確認のしようがないのと、もしレジストリを直に触らず済む方法があるなら…と思っています。 RootKit Hook Analyzer拝見しました。これはカーネルに潜むステルスをサーチするのが専門みたいな感じですね。 一応、私はRootkitRevealerというのを持っていますが(相手先のPCには入ってません)、OSについてはRootKit Hook Analyzerの方がきっちり見てくれそうですね。 RootKitが入ったのはわかっていますので、駆除はしましたがまだ必要がありそうな状況であれ使用を検討しようかと思います。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
5番さんと同意。ここでの質問を締め切って、あちらに行ってください。 というか…質問者さんではなく、問題のPCのユーザーさん自身が決断されてご自身であちらで質問するようなことでないと、レスポンスが悪すぎて状況改善に目処が立ちません。それ以前に… >週一で対処しに行っていますが >スキャンの結果、複数のトロイ+アドウェアなどを確認。症状からTrojan.Perfcoo、Trojan.Virantix.Cを確認。高い確率で W32.Rispif.Aと思われるものも確認したのですが、行く度に大量に出てくるので全ての正体はわかっていません(avastなので…)。 はっきり言って、複合感染です。人間で言うならがんがあちこちに転移したような状態。あるいは糖尿病に複数の合併症が併発した状態。そんなPCを未だにネットに繋いで普通に使い続けているというユーザーさんの神経を疑います。これでは何時までたっても良くならないどころか、症状は悪化の一途をたどるのみです。 今すぐこのPCのネット利用を止めさせること。仕事で必要だろうが何だろうが、いかなる事情があろうとインターネットに接続しない状態にすることがまず第一歩です。それが出来ないようなら…higaitaisaku.comに行こうが何をしようが、治りません。
補足
ryu-fizさん、レス有り難うございます。 仰っていることは私は十分理解しています。ですから勿論ネットには接続しないよう指示しています。 higaitaisaku.comは過去ログを利用した事があるので最初に覗きましたが、回答者が不足しているという現状で、折角アドバイスいただいたとしても、こちらが週一で、ほんの数時間しか確認や対処が出来ない状況ではご迷惑かと思い、私の方で解決しようとしている次第です。 ryu-fizさんもそれなりの知識をお持ちかと察しますが、現在のPCユーザーは…言葉は悪いですが低レベルの方も多いです。アイコンをクリックするくらいしかわからない方もインターネットを使っているのが現実です。なので「ユーザーさん自身が決断されてご自身であちらで質問する」というのも難しい場合が多いです。解りやすく説明したつもりでも理解できていないことがほとんどだったりも…。 …25685Mhzさんのレスにも書きましたが、恐らくきっと、また問題を起こすだろうと予測していますので、全てのレジストリを修正できなくても、感染のない状態でとりあえず動けばいいかと考えています。 ただ、System Volume Informationでアクセス拒否される状態のままでは、次に問題が出た時に困るのでここは直したいのです。 > 5番さんと同意。ここでの質問を締め切って、あちらに行ってください。 ここに質問を置いておくこともご迷惑になるのでしょうか? 個人的にはそのように思えませんし、私も自分の質問数が回答数を越えないように気をつけているつもりです。 それでも問題がある場合は質問を締め切りますのでご指摘ください。
- katsu_ani
- ベストアンサー率40% (28/69)
最後の手段として、 http://bbs.higaitaisaku.com/cbbs.cgi で質問されたほうがよろしいのでは? 用意するツール HijackThis http://www.higaitaisaku.com/hijackthis.html アンインストール情報作成ツール http://www.higaitaisaku.com/uninstallinfo.html SilentRunners http://www.higaitaisaku.com/silentrunners.html 現時点でも > セキュリティー関係のサイトへのアクセスが封じられている ようだったら 念のため、用意したツールの名前を変えたものを、ディスクに焼いて持って行き 問題のPCへコピーしてください。 その結果を質問時に貼り付ければ、状況がわかります。 質問するサイトを移動したとき、ここのURLを示していただければ良いです。
お礼
higaitaisaku.comを頼ることなく無事解決できました。最終的には念のため、自分の持っているHijackThisでも何度かチェックしましたが問題なさそうです。ありがとうございました。 便利なツールを教えていただきましたが、実際に使用したものを教えてくださった方優先にポイントを付けさせていただきました。
補足
katsu_aniさん、レス有り難うございます。 実は…HijackThisは考えていたのですがHacktool.Rootkitに罹っていることがわかっているので諦めていました。 しかしSilent RunnersというのはHijackThisで発見できないレジストリエントリも検出してくれるのですね。これは使えるかもしれません。 とりあえずは…自分のPCで操作を確認しないといけないので現場で使ってみるのは来週になってしまいますが…。 今すぐ作業したいところなのですが、体調をくずしてしまっていて(それでここで質問させていただきました)多くのことを理解して記憶するのは難しそうです。。 状況が状況なだけに、少し先になるかと思いますが、一段落しましたら回答へのお礼を付けさせていただきますね。
- Niwatori-Sanpo
- ベストアンサー率62% (1168/1867)
>システムの復元を諦めましたので、レジストリの修正と回復コンソールになるかと思いますが、 _RESTOREも感染していると予想されるならシステムの復元を無効にして _RESTOREフォルダを削除したのは正解だと思います。 また、難易度の高そうなレジストリの修正に関しては、オイラにはよく 分かりませんが、回復コンソールでウィルス等に感染したシステムを修復 できるとは思えません。 なお、OSが不明なのですが、WinXP と考えてよろしいんですよね? Vista だとしたら回復コンソールが起動できるかどうか不明なので…。 >System Volume Informationにアクセスできない原因 最初はアクセスできたということだから、フォルダのセキュリティ設定 によるアクセス権の問題はクリアされていることと思います。 そうなると、アクセスできない原因はやっぱりトロイなどのウィルスに よる影響という可能性が高いでしょう。 >これらのことから考えられることや、その対処法などもご享受いただければ System Volume Informationフォルダを削除するだけなら、knoppixCD からPCを起動すれば何とかなるでしょう。 http://unit.aist.go.jp/itri/knoppix/ KNOPPIX 5.3.1CD(700MB)日本語版 http://www.rcis.aist.go.jp/project/knoppix/ Win2000 マシンや WinXPマシンでの knoppix 起動によるファイル操作は オイラにも経験があります。 しかし質問者さんも予想しておられるように、システム復元フォルダの 削除だけで改善するような問題ではなさそうなので、やっぱりリカバリを お勧めせざるを得ないところです。 因みにセーフモードで起動することは出来ないのでしょうか? 起動可能なら、少なくとも回復コンソールよりはファイル操作が楽だと 思います。 もっとも、これもトロイ等が邪魔しなければの話ですが…。
お礼
レジストリをガリガリ弄りましたが、幸いシステムを壊すようなことはなく無事解決しました。ありがとうございました。 実際に使用せずには済みましたが、keepさせていただいています^^
補足
Niwatori-Sanpoさん、レス有り難うございます。 OSはそのとおりです。XPです。主にセーフモードで作業しています。 ただ、セーフモードでもSystem Volume Informationにアクセスできないのですよ。 システム関連のレジストリは触る箇所が少ない方が良いので、System Volume Informationにアクセスできない原因がレジストリの改変なのか、他の何かなのかが知りたかったのです。System Volume Informationのフォルダに問題があるのではなく、そこにアクセスするプロセスで何かが起こっているようですので。。 とはいえ、他人のPCですから特にレジストリ(しかもシステム関連)となると、慎重になってしまいます。 回復コンソールからは壊れたシステムファイルを持ってくるのに使おうと思っています。beep.sysは既に破壊されていますので。 KNOPPIXはOSが起動しなくなってしまった時には使えそうですね。 これでbootできるなら最悪OSの起動に支障が出た場合、ある程度のデータは救出できそうです。 こういうものが無料であるのは知りませんでした。使うことがあるかもしれません。 そのような事態にならなければ、それに越したことはないのですが…。
- Riven_2008
- ベストアンサー率25% (9/35)
事情があってリカバリーじゃない方法・・・・ 質問を読んでる限りリカバリー以外の方法は無理な感じがします。 諦めてリカバリーした方が良いと思います。
お礼
解決しました。ありがとうございます^^
補足
Riven_2008さん、レス有り難うございます。 PCをキレイにするだけならそれが早いでしょうね…。 事情と言うのはHDDが大容量で保存されているデータのバックアップが難しいのと、ツール類も多く、元のディスクがあるのかサイトからのDLなのかもわからないことです。 失うデータの保証ができればそうするところなのですが……。 相手はOSが何かも理解していない人なので、いろいろ大変です。。
- 25685Mhz
- ベストアンサー率10% (2/20)
System Volume Informationにアクセスできない こちらのパソコンもできないね。 自分の場合administratorアカウントにログオンして細かな設定変更でアクセスするけど。 何に感染しているのか、不透明の状態で何ができるかといえば、リカバリ。 「原因をはっきりさせて直したいです」 感染原因ならその修理を頼んだ人がよく知っていると思う。 とはいえ、セキュリティソフトも入れていないで感染して被害者意識をもろだしするよりは、リカバリでスッキリがいいだろうと思うが。 CDドライブ使えるようだし、データをバックアップできるだろう。
補足
25685Mhzさん、レス有り難うございます。 System Volume Informationも含めて全てアクセスできる状態にはしています。 System Volume Informationにだけアクセス拒否されるようになったため、もしファイルの関連付けが壊されているならそれを修復したいと思っているのですが、場所が場所だけに心配なので、原因をはっきり把握した上でやりたいのです。 プログラマーの経験はあるので仕組みだけはわかっていますが、レジストリを直に触ったことはないので。。 感染原因は…訊いてもはっきり言わないんですよね…状況からして察しはつきますが。 それについては憶測から注意はしておきました。 私が知りたい「原因」は、System Volume Informationにアクセスできない原因の方なんです…。 「リカバリでスッキリ」というのは確かにそう思いますが、きっとまた問題を起こすかもしれないと思っているので、マルウェア本体の削除を済ませ、不具合の出ている部分を直して正常起動できるようになればいいかと考えています。 > CDドライブ使えるようだし、データをバックアップできるだろう。 ……バックアップに外付けHDDは必要な感じのレベルなんです…。 アイコンをクリックするくらいの知識で簡単にPCが使えてしまうと,何でもかんでもDLしてしまって。。
- KengaKS
- ベストアンサー率21% (45/209)
こんにちは。 かなりPCがやられましたね…。この場合、リカバリする以外方法がないと思いますが…。
お礼
解決しました。ありがとうございます^^
補足
KengaKSさん、レス有り難うございます。 …そうですね。リカバリできれば良いのですが、問題は自分のPCではなく、更にそのPCが私の手元にないということなんですよね…。 失うデータを全て保証出来ないのでリカバリは難しい状況なのです。。
お礼
レジストリの修正その他で解決しました。その前に「Wise Registry Cleaner」を使わせていただきました。これで作業が減って楽できたと思います。 他所の家で週一という時間制限があった中、とても助かりました。有り難うございます。
補足
gh8gh8さん、再度レス有り難うございます。 お薦めのツール拝見しました。今回の件でたくさんゴミが残されているかと思いますが、いろんなものをインストールしたり適当に消したりもしているようですから、クリーリーナーを使った方が良いみたいですね。 不要なレジストリが多いとシステムが不安定になることもありますし…どれか選んで使ってみようかと思います。まだ細かい部分までは調べていませんが、拝見した中ではWise Registry Cleanerが気になっています。 良いソフトウェアを紹介していただけて嬉しいです。 「データのバックアップ→リカバリ」…そうですね。それが楽ですが自分のPCでないのがつらいところです。 PCのある家に居られる時間も限られるので片付くのはまだ先になりそうですが、頑張ってきます!