- ベストアンサー
トロイの木馬が削除できない:lsass.exe
こんにちは。 現在トロイの木馬が駆除できずに困っています。 1ヶ月ほど前から「lsass.exe」が異常終了する現象が出ていましたが 特に影響が出てたわけでもなくただ強制終了しました、というウインドウ が表示されるだけでしたので放置していました。 ところがここ1週間ほどになってウイルスバスター2009のポップウィンドウで "疑わしいプログラムが拒否されました" "保護のため、windowsセキュリティポリシーを 変更する試みはブロックされました" プログラム名:lsass.exe と表示されるようになり それがほぼ1~2分置きに出続けています。 それでウイルスバスターの不正変更の履歴を見ると該当ファイル名が C:\Document and settings\ユーザー名\Application Data\Microsoft\Windows\lsass.exe となっており、ウイルス名は「TROJ_GENERIC.DIT」となっていました。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_Generic.DIT 一度ウイルスバスターの全体検索をかけましたが。駆除することができません。 手動で駆除する必要があるようなのですが、実際に上記のC:\Document and Settings....以下に 「lsass.exe」は存在せず、PCで「lsass」でファイル検索すると lsass(3).exe C:\WINDOWS\system32 lsass.exe C:\WINDOWS\system32 lsass.exe C:\WINDOWS\ServicePackFiles\i386 の3つだけでした。 実際にこれといった被害があるわけではないのですが 常にポップアップが表示されていまして、履歴はここ1週間で 5千件以上になっています・・・。 どなたかお力をお貸しください・・・。 リカバリは避けたいです・・・。 PC環境はXPのSP3です。必要事項あれば補足いたしますm(. .)m
- mittttt
- お礼率87% (7/8)
- ウィルス・マルウェア
- 回答数6
- ありがとう数10
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
おはようございます、お困りですね。 さてご質問の件ですが、なんとも言えませんね。一度safeモードで PCを起動してみてください。電源をいれた後で すぐにf8キーをガシガシ たたきますと、起動モードを選択する画面になります。 safeモードで起動した後、ウィルスバスターを起動し そこで PCをスキャンしてみてください。 なお、トレンドマイクロのサイトによると、ウィルスの疑いがあるとのこと、万が一何らかのファイルが発見されても、隔離するだけにとどめておいて下さい、削除なさらないように。
その他の回答 (5)
- redirect
- ベストアンサー率22% (117/514)
マルウェアを集めてテストなどをしている者です。 lsassってのはですね、Local Security Authentication Subsystemと言ってユーザー認証やローカルセキュリティーポリシー、ユーザーやグループの権限、監査といったWindowsのセキュリティーに関する中核プロセスです。 で、質問文からして誤検出などではありませんね。マルウェアによるものと思われます。リカバリかけたほうがいいです。
お礼
ご指摘のとおり誤検出ではありませんでした。 とりあえず駆除できたので様子を見たいと思います。 もし再発するようならば諦めてリカバリます。 ありがとうございました。
〉〉ウイルス名は「TROJ_GENERIC.DIT」・・・・ せっかくウイルスバスターが、仕事をしてくれているので活用 しましょう。 質問者さんが提示しているサイトの『対応方法』に詳細に書いてます。↓ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGENERIC%2EDIT&VSect=Sn 念のため、当方のPC(XP_SP3)でのlsass.exe検索結果を提示して おきます。 C:\WINDOWS\$NtServicePackUninstall$ C:\WINDOWS\system32 C:\WINDOWS\ServicePackFiles\i386 詳細設定オプションで、『システムフォルダの検索』、『隠しファイルと フォルダの検索』、『サブフォルダの検索』にチェックを入れておく。 〉〉実際に上記のC:\Document and Settings....以下に「lsass.exe」 〉〉は存在せず すべてのファイルやフォルダーが表示されるようにしましたか。↓ http://www.higaitaisaku.com/zenhyoji.html 作業が終了したら設定を、戻しておいて下さい。
お礼
検索までしてもらってありがとうございました。 隠しファイルのオプションはチェックしていませんでしたね・・・。 人並みにPC知識はあるつもりでしたがお恥ずかしいかぎりです。 対応方法はもちろん閲覧してましたが、削除や採取しようにも 該当ファイルが無いので困っていた次第です。 ありがとうございました。
- s-e-kun
- ベストアンサー率33% (92/271)
PC初心者の回答なので参考にならないかもしれませんが個人的には誤検出かなと思いますが、PC初心者の為に確信は全然有りません。 lsass.exeが壊れてしまい、それをウイルスバスターが誤検出してるのではないでしょうか? 一様以下がマイクロソフトのURLです。 http://support.microsoft.com/kb/306483/ja http://support.microsoft.com/kb/824226/ja http://support.microsoft.com/kb/274172/ja で以下がlsass.exe等の脆弱性を使うウイルスの参考URLです。 http://internet.watch.impress.co.jp/cda/news/2004/06/03/3349.html ただ余り参考にならないかもしれませんが、個人的には誤検出かなって思えますけど。 心配なら以下のエフセキュアオンラインスキャン等で一度スキャンをされて見られてはどうでしょうか? http://www.f-secure.co.jp/v-descs/disinfestation.html これで検知が無ければウイルスバスターでの検知もTROJ_GENERIC.DITと有る様に未知のウイルス検出機能での検知なので誤検出の可能性が高いと思います。 ただ誤検出だとしたら除外でそれを検出外から外す設定は有るとは思いますが。Windowsで使ってるプログラムなので、検出外にするのもお勧めできませんしその旨をトレンドマイクロ(ウイルスバスターの会社)に問い合わせて見るのが一番かもしれません。 私自身PC初心者なので良いアドバイスが出来ませんが参考になれば幸いです。
お礼
補足とお礼を間違えましたm(. .)m
補足
私も調べていると誤検出の記事が結構あったので そうなのかも・・・?と思いましたが、今回はどうやら そうではなかったようです。 ありがとうございました。
- goold-man
- ベストアンサー率37% (8364/22179)
(1)lsass.exeはローカル・セキュリティ管理サブシステム。セキュリティ・サブシステムのローカル・セキュリティ・オーソリティ・サービス (LSA)コンポーネントを実行するプロセス、OS起動やログインに必要なプログラム(システムに必要なプロセスなので消さないように) (2)上記正規のプログラムlsass.exeに名を変えて潜んだトロイの木馬系スパイウェア・アドウェア・ワーム(メモリ上に常駐している不正プログラムウィルス) のどちらかわかりませんが、参考URL及び下記URLをご覧ください。 http://oshiete1.goo.ne.jp/qa3138165.html http://esupport.trendmicro.co.jp/Pages/JP-29037.aspx >C:\Document and Settings....以下に「lsass.exe」は存在せず 「コントロールパネル」「フォルダオプション」「表示」「すべてのファイルとフォルダを表示する」にチェックを入れ、「隠しファイルおよび隠しフォルダを表示しない」や「登録されているファイルの拡張子は表示しない」のチェックを外す。 で拡張子を表示するようにしてから検索しましたか? >ウイルス名は「TROJ_GENERIC.DIT」となっていました Windowsフォルダ(\system32)の\lsass.exeがBKDR_SMALL.BSZと検出されている事例もありますが、TROJ_GENERIC.DITとして検出されたのですか?(この場合手動削除手順によりセーフモードで起動したり、レジストリエディタで削除したりしています) また、**ボットウィルスとして検出された事例もあります。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_SMALL.BSZ&VSect=Sn
お礼
おっしゃるとおりメモリに常駐している不正プログラムのようでした。 セーフモード起動してウイルスバスター検索で駆除できましたが PCも問題なく動作しているみたいです。 ありがとうございました。
- Z80A-CPU
- ベストアンサー率14% (10/70)
ウィルスを削除してくれる(フリー)ソフトをかたっぱしから、試してみてはいかがでしょうか、あとオンラインスキャンなども試してみてはどうでしょうか、ひとごとですいませんが。
お礼
フリーソフトを試すことも考えましたが、面倒くさいのと お金出してウイルスバスター使ってるのが妙に悔しいので 実行には移せませんでした(^^; ありがとうございました。
お礼
補足とお礼を間違えましたm(. .)m
補足
おっしゃるようにセーフモードで検索をかけてから ウイルスバスターで駆除することができました。 やはり同じ「TROJ_GENERIC.DIT」がC:\Document and....以下に 見つかりまして、駆除ボタンで処理できたみたいです。 削除してくれたんでしょうか。 何はともあれアドバイスありがとうございました。助かりました。