• ベストアンサー
  • すぐに回答を!

LAVA でウィルス感染

  • 質問No.6544550
  • 閲覧数950
  • ありがとう数7
  • 気になる数0
  • 回答数19
  • コメント数0

お礼率 21% (319/1460)

VISTAです。
いきなり、スタートアップもほかのアプリケーションも立ち上がらなくなりました。
でてくるのは、デスクトップに、危険なので、すぐこれこれを購入したほうがいい
という内容のものです。
CHROMEなどをたちあげようとすると、Can't be executed.
アンチウィルスをたちあげようとすると、Can't be executed.
でその後はおきまりの、「購入したほうがいい」のポップアップです。

LAVAのAD_AWAREというものが怪しいかなとおもって
SAFE MODE でそれをはずそうとしたのですが、
Uninstallation completed とかでてるのに、再スタートするとまたそこにあります。

そして、同じ上記メッセージの繰り返しなのです。

解決策をどなたか教えてください。

質問者が選んだベストアンサー

  • 回答No.19
  • ベストアンサー

ベストアンサー率 62% (1168/1867)

 そろそろ明日の準備(就寝)をしなくてはならない No.18 です。


>AVASTをアンインストールして、Malwareが暴れる(表現がおかしい?)
>ということはないですよね?

 えっと、インターネット回線用の機器としてルータは設置していないん
でしたっけ?
 ファイアーウォールを有効にして、且つ電子メールの受信監視は停止の
状態に、また他の Webサイト等にもアクセスしたりしなければとりあえず
大丈夫でしょう。
 念のために、Avast!をアンインストールする前に「Microsoft Security
Essentials」のインストーラをダウンロードしておけばモアベターという
ものです。


>スタートアップにあるものをリストアップ ~
> ~
>参考になりますか?

 オイラの Vista環境には無いものが多いようですが、項目名やLocation
(レジストリの場所?)ばかりでなく、「製造元」や「コマンド」のある
フォルダ情報も開示した方が、正体を突き止める手がかりには役立ちそう
です。
 因みに「Host Process Rundll 32」というのは何でしょうね? 当方の
Vista 機には存在しません。


>APPDATAというものが見当たりません。

 う~む…そんなはずはないと思うんですが、フォルダーオプションにて
全てのファイルやフォルダを見える化していますか?

隠しファイルやシステムファイルを表示させる方法
http://dynabook.com/assistpc/faq/pcdata/005787.htm


>これってヒントになりますか?

 はい。 たぶん詳しい鉄人には参考になっていると思います。

 例えば「csrss.exe」は通常「C:\Windows\System32」というフォルダに
あると思われます。 ユーザープロファイル保存用フォルダの一時作業用
TEMPフォルダにあるのは普通ではないと思います。
 また、前述したように「sshnas21.dll」というファイルは当方の環境に
見当たりません。

 因みに、「sshnas21.dll」をキーワードにネット情報を検索したところ
以下のページが見つかりました。 駆除に成功した事例のようです。

危ないウイルス:sshnas21.dll(FakeAlert)の駆除
http://hokanko2008.seesaa.net/article/154796948.html

怪しいなぁ「sshnas21.dll」ウィルスか?
http://d.hatena.ne.jp/kunimaruchan/20100126/1264489139


 McAfeeサイトでも別名(BackDoor-ABF)で捕捉(検出)されていたので
いちおう参考 URL欄でリンクさせておきます。


>解決策につながりますか?

 関連ファイルやレジストリを手動で削除するのは大変そう…。 (+_+;
補足コメント
3419696

お礼率 21% (319/1460)

Niwatori-Sampoさん!!Malwareとれたかも??です。
さっき、4つほどMalwareを駆除、Restartしたら、
いつもの表示はでなくなりました~~~!!!
嬉しい、ウレシイ、と油断して後に出たら困るので、
明日までこのトピックは開けておきます。
まずはご報告まで
投稿日時:2011/02/27 01:10
お礼コメント
3419696

お礼率 21% (319/1460)

Niwatori-sanpo さん、何度もありがとうございます。
明日の準備してください。
今WINDOWS DEFENDERでSCANしてます。
終わりましたら、ネットで見つけたMALWARE BYTESというもので、MALWARE退治をしてみます。何かESSENTIALSより協力とか書いてあるので。

見える化もして、また補足に記入します。
投稿日時:2011/02/26 23:28

その他の回答 (全18件)

  • 回答No.18

ベストアンサー率 62% (1168/1867)

 いつまで続く? No.17 です。


>上記部分、難しいですね。

 それでは振り出しに戻ってみるというのはどうでしょう?

 つまり Avastはアンインストールして、代わりに回答No.4のリンク
先の過去質問回答 No.1にある「Microsoft Security Essentials」を
インストールして、駆除できるかどうかを試してみるという方法です。

 いろいろ実行した後では効果があるかどうか分かりませんが、まだ
やっていないと思われるので、検証してみる価値はあると思います。

http://okwave.jp/qa/q6438594.html


>>その「 ~~~~~~/temp」の部分が重要な情報 ~
> ~
>この部分はどう判断するのでしょうか?

 正確なフォルダの場所を明示して、実際そこに「sshnas21.dll」が
存在するのかを確認しましょうという意味です。
 存在しないのに起動時のエラーメッセージで実行不可を訴えるのは
スタートアップに登録されているせいかもと判断した、いわば単なる
現状分析だったりします。
 ただ、その現況把握は詳しい人にとっては不具合解消の手がかりに
はなることもあります。
 少なくともオイラの Vista環境にそんなファイルはありません。

 例えば、今現在登録されているスタートアップ項目をここにリスト
アップしてみれば、もしかしたら誰かが怪しいプログラムはこれだ!
という情報や解決策を提供してくれるかも知れません。


 因みに、オイラは詳しい人ではありません。 今日は仕事が非番で
暇なだけです。
補足コメント
3419696

お礼率 21% (319/1460)

Micro Soft のMalicious software removal tool をやってみました。目的にあっているかどうかわかりませんが、なにもMalwareは検索されませんでした。

>つまり Avastはアンインストールして、代わりに回答No.4の
>リンク先の過去質問回答 No.1にある「Microsoft Security >Essentials」をインストールして、駆除できるかどうかを試し
>てみるという方法です。

上記、これからやってみますが、AVASTをアンインストールして、Malwareが暴れる(表現がおかしい?)ということはないですよね?

心配です。

もう一点
スタートアップにあるものをリストアップします。
まずMicro Softから以下にMicroを省略して記載します。
System config Utility
Userinit Logon Application
Windows Explorer
Host Process Rundll 32 (これが合計まったく同じで4つあります)Location:Software/MicroSoft/Windows/CurrentVersion/Run 4つともLocationは同じです。
Media Player Network Sharing Service
Windows Sidebar
Windows Defender
Spybot
Synaptics Pointing Device Driver
Brother status monitor application
などなどです。。。

参考になりますか?

Avastをアンインストールするのはお返事をいただいてからに
します。(恐いので)
投稿日時:2011/02/26 21:11
お礼コメント
3419696

お礼率 21% (319/1460)

追加です。
たちあがるときに出てくる 
C:/USERS/*****/APPDATA/LOCAL/TEMP/CSRSS.EXE や 
C:/USERS/*****/APPDATA/LOCAL/TEMP/SSHNAS21.dll
をCドライブから入って探してみましたが、
APPDATAというものが見当たりません。

これってヒントになりますか?
ないか解決策につながりますか?
投稿日時:2011/02/26 21:21
  • 回答No.17

ベストアンサー率 62% (1168/1867)

 乗りかかった船に乗船してしまった気分の No.14 です。

>立ち上げるたびに, ~/temp/sshnas21.dll とかが実行できませんと

 その「 ~~~~~~/temp」の部分が重要な情報だったりするわけ
ですが、実際のその場所に該当ファイルは存在するのでしょうか?
 というのも、臨時的に利用される一時作業用フォルダのようだから
実際にはもう消えているんじゃないかと推測するからです。

 恐らく、起動時に自動実行されるスタートアップ項目にその.DLLに
リンクしているプログラムが登録されているのではないかと思います。
 ところが、Spybot S&Dによる駆除の成果か何かで実際には該当する
「sshnas21.dll」が消えたためエラーを出しているか、或いは.DLLは
残っているのに親プログラムが削除された結果…という可能性もあり
そうです。

 とりあえず、下の「スタートアップチェッカー」を使って起動時に
自動実行されるプログラムの特定に挑戦してみましょう。

スタートアップチェッカー
http://www.vector.co.jp/soft/winnt/util/se302214.html

 ただし、「sshnas21.dll」を呼び出している実行ファイルの本体が
不明なので、停止させるべきプログラムはフォルダ情報などから類推
しなければならないと思います。
 もしかしたら「処理対象」をサービスにして、サービス名から類推
できるかも知れません。

 なお、このソフトをインストールするときは「Jword」等の余計な
プログラムは除外してインストールした方が吉です。 念のため。
補足コメント
3419696

お礼率 21% (319/1460)

ただし、「sshnas21.dll」を呼び出している実行ファイルの本体が
不明なので、停止させるべきプログラムはフォルダ情報などから類推しなければならないと思います。
もしかしたら「処理対象」をサービスにして、サービス名から類推できるかも知れません。

上記部分、難しいですね。心配です。
とりあえず、プログラムを実行した後、またお尋ねするかとおもいますので、お願いいたします。

また、
>その「 ~~~~~~/temp」の部分が重要な情報だったりするわけですが、実際のその場所に該当ファイルは存在するのでしょうか?

この部分はどう判断するのでしょうか?
投稿日時:2011/02/26 16:40
  • 回答No.16

ベストアンサー率 45% (1011/2244)

回答14の補足にあった「~~~~~~/temp/sshnas21.dll とかが実行できません」ですが、
これはネットで検索しても分かるように「相当危ないウィルス」そのものです。

:>ところで、「CITRIX ZENAPP」とはなんですか?
http://www.citrix.co.jp/products/cps.html
{Citrix Xen Desktop」
http://www.citrix.co.jp/

:>フリーでも可なのですか?とはどういういみでしょうか?
法人ユーザーであれば検証済みの商用でない「フリー」のセキュリティー・ソフトの使用は安全性や信頼性の観点から
規制するのが一般的です。
補足コメント
3419696

お礼率 21% (319/1460)

>~~~~~~/temp/sshnas21.dll とかが実行できません」
>「相当危ないウィルス」そのものです。
ありがとうございました。
では実行できないほうがいいわけですね。
SPYBOTかなにかでなんとかとまっているということでしょうか。
ただ、常駐しているということになるわけで、ではなんとか駆除しないといけないのですね。
ちょっとこれを相談してみたほうがいいのかもしれないですね。
投稿日時:2011/02/26 15:56
  • 回答No.15

ベストアンサー率 37% (3/8)

ウイルス感染です。正確にはウイルスの定義には属しませんが・・・
お近くのプロにまかせましょう。
但し、各業者により5倍程度の料金差がありますので
依頼する前に、見積依頼しましょう。
お礼コメント
3419696

お礼率 21% (319/1460)

ありがとございます。そうでした。
投稿日時:2011/02/26 11:32
  • 回答No.14

ベストアンサー率 62% (1168/1867)

 またまた、再び No.12 です。

>その後あらたに立ち上げます。

 ところで、最初の設問にあった何らかのマルウェア感染による不正
ポップアップ追放の件ですが、最終的に貢献した処置としては、次の
どれが該当したのか判断できますでしょうか?

1 Spybot S&Dによる検索・駆除

2 レジストリーツールによる怪しいエントリの削除

3 Ad-Awareをアンインストールしてからの対応

4 その他


 もちろん特定できない可能性もありますが、もし可能であればその
経緯をまとめていただけると、同じ悩みを抱える後進の役に立つかも
知れません。
補足コメント
3419696

お礼率 21% (319/1460)

たびたびご丁寧にありがとうございます。
前のレスに答えてませんが、ご質問いただいたけんです。
順番的に3、1、2、としてきました。
特に変化があったのは、1によるものでした。ただし、複数回
SPYBOTによる、検索、駆除をしました。
そのたびに何回かアップデートもした記憶があります。

レジストリーツールは、Eusing Free Registry というものを使いました。

その他ですが、Malicious Software Removal Tool
も使いました。

こういったところですが、一つ、これは新たな問題というのか、
立ち上げるたびに,
~~~~~~/temp/sshnas21.dll とかが実行できませんと
でます。
これを正常にできません。

何かお知恵がありますか?
投稿日時:2011/02/26 11:31
  • 回答No.13

ベストアンサー率 62% (1168/1867)

 No.4からお付き合いの No.11です。


>移植できるなら、まず移植して、ご指摘の完全削除をしてみます。

 ブックマーク(お気に入り)を待避させておく方法としては、たぶん
以下の方法が一般的な手順だと思います。

ブックマーク: ブックマークのインポート/エクスポート
 → Google Chrome からブックマークをエクスポートする
http://www.google.com/support/chrome/bin/answer.py?hl=ja&answer=96816


 それを IE でも使い回したい場合は以下の手順になるようです。

Internet Explorer でのお気に入りのインポートとエクスポート
 → Internet Explorer 8 にお気に入りをインポートするには
http://windows.microsoft.com/ja-JP/windows-vista/Import-or-export-favorites-in-Internet-Explorer


 お気に入りを IE から移植する、或いは、ブックマークを待避させて
おいた HTML ファイルから戻す手順は、最初のページの「他のブラウザ
からブックマークをインポートする」に説明されていますが、IEで待避
させた場合のファイルの拡張子は htmになるようですね。
 しかし中身は同じハズなので、htmlだろうと htmだろうと大差はない
と判断します。 もしダメだったら拡張子を手動で書き換えてから作業
しても OK なような気がします。


 なお、本題とは関係ありませんが、Firefox のブックマークと IE の
お気に入りを簡単に変換できる「BookSync」というツールがあります。

 現在は Google Chromeもシェアが上がってきているので、似たような
Chrome対応ツールが Web上の何処かに転がっているかも知れません。
 ただし、導入は「Vector」や「窓の杜」にアップされるようになって
からの方が無難だと思います。
 最近は怪しいサイトが多いので…。


>ところで、不思議なのですが、一度CHROMEからVPNに入れました。
> ~
>NETWORKからINTERNETにバツ印がついています。

 よく分かりませんが、Windows のネットワークなんてそんなものです。

 デジタルの世界なのに、とりわけ表示がファジーなのは良くあること
たったりします。
 もしルータを使っているなら、機器の電源を入れ直すと復旧するかも
知れません。

 一番確実なのは、回線機器やネットワーク接続を含めて、それぞれの
設定を最初からやり直すことでしょう。
補足コメント
3419696

お礼率 21% (319/1460)

firewall無効にしました。
BOOKMARKすべて移植しました。
GHROME,完全削除をして、ダウンロードし実行しました。
でもやはりだめですね。今FIREFOXですが、
これは大丈夫です。
投稿日時:2011/02/26 15:49
  • 回答No.12

ベストアンサー率 62% (1168/1867)

 No.9のパート 2です。


>これで何がわかるのでしょうか?

 ネットワーク接続に関する現在の設定内容(TCP/IPの設定)です。

 以前の捕捉にあったエラーの内容が所望のアドレスに繋がっていない
という感じに読み取れたので、ファイアーウォール等にブロックされて
いる可能性もあると思い一応確認してみることをお勧めした次第です。
 回線機器にルーターをお使いで、且つ当該機の DHCP を利用している
場合、PCが IP アドレスが取得できない場合もあり得るからです。
 しかし、他の Webブラウザで OK ならこれは関係なかったようですね。

 なお、お使いのファイアーウォール設定が CHROME の VPNをブロック
しているかどうかについては、利用したことがない以上、当方には全く
見当も付きません。

 因みにお使いのファイアーウォールを無効にしても同じでしょうか?



 ところで、質問の内容が、最初の趣旨とだんだんかけ離れてきている
ように感じます。
 この際、本トピックは適当なところで切り上げて、「あらたな問題」
には新たな質問を起こした方が良いのではないでしょうか。

 ただし、Firefox によるログインが重いのなら(何処にログインする
のか分かりませんが)感染による後遺症とも思われるので、その場合は
オイラより詳しい先人の知恵を待ちましょう。
補足コメント
3419696

お礼率 21% (319/1460)

そうですね。主旨が違っていますね。ごもっともです。
なにせ素人ですので、最初はもうパニックでしたので。
だんだん冷静にいろいろしてみようと考えるようになっては
きているのですが、今回ご指摘いただいた件をしてみて、ご報告し、その後あらたに立ち上げます。
投稿日時:2011/02/26 01:00
  • 回答No.11

ベストアンサー率 62% (1168/1867)

 またまた、No.9です。

>何か他にやってみることは

 横から失礼します。

 CHROMEを再インストールしたんですよね? 単に再インストールした
だけでは、ユーザー別の個別設定などは旧いものが継承される可能性が
あると思うのですが、完全にアンインストールした後、新たに振り出し
からインストールし直したのでしょうか。
 拡張アドオンなど旧い設定データを引きずっている可能性がありそう
です。

 なお、オイラは CHROME を使ったことがないので、完全削除の方法に
ついてはよく分かりません。 そこんとこ悪しからず。 m(_ _)m

VistaからGoogle Chromeを完全に削除する方法
http://etwas.wolfish.org/blog/p2008091001/


 ところで、CHROMEに保存したデータというのは何でしょう?

 「お気に入り」を他の Webブラウザに移植(エクスポート→インポート)
するぐらいなら、そんなに難しくなさそうですが…。
補足コメント
3419696

お礼率 21% (319/1460)

親身になっていただいてのご回答ありがとうございます。
CHROMEのデータとは、単にいままでのお気に入りです。
移植できるなら、まず移植して、ご指摘の完全削除をしてみます。
ところで、不思議なのですが、一度CHROMEからVPNに入れました。
それで、今のネットワークの表示の現状ですが、
パソコンからMULITPUL NETWORKの間にびっくりマーク、
NETWORKからINTERNETにバツ印がついています。

この状態でFIREFOXでは接続できているのですが。。。
投稿日時:2011/02/26 00:57
  • 回答No.10

ベストアンサー率 45% (1011/2244)

 チョット前までネット関連を飯のタネにしていましたが、
ブラウザがらみのVPNで私の頭に思い浮かぶの「Citrix ZenAPP」ぐらいです。
経験的に言えば「○IE、○FireFox、△Google Chrome」ということで、SSLにうまく対応出来ていないころのGoogle Chromeでは
不可でした。
 とはいえ、まともなVPNであれば確かなセキュリティー・ソフトの使用が基本であると思いますが、フリーでも可なのですか?
補足コメント
3419696

お礼率 21% (319/1460)

まともなVPNなんです。結構ネットでは広告もあるし、友人たちも使っているしで。。しかも、こんなことになる前は一度もこういったことがなかったので、すご区残念です。
ところで、「CITRIX ZENAPP」とはなんですか?
>まともなVPNであれば確かなセキュリティー・ソフトの使用が>基本であると思いますが、フリーでも可なのですか?
フリーでも可なのですか?とはどういういみでしょうか?

先ほどCHROMEのダウンロードが終わったのですが、
やはりだめでした。同じERROR130が出てしまいます。

FIREFOXは使えます。IEもOKです。
CHROMEだけだめみたいですね。
いままで使ってきたので、CHROMEにデータや保存したものがあり、できたらまた使いたいのですが、。。何か他にやってみることはありますか?
投稿日時:2011/02/25 22:03
  • 回答No.9

ベストアンサー率 62% (1168/1867)

 No.4 改め No.5 も改め、No.6 です。


>今これをそのパソコンから打てるほど回復して

 つまり、セーフモードではなく通常モードで起動しても、嫌らしい
ポップアップは表示されなくなったということで宜しいでしょうか。


>これはなにが原因でしょうか?

 VPN 接続についてはよく分かりませんが、CHROMEではなく IE での
VPN 接続が可能なら通信環境の問題では無さそうですね。

 しかし、念のために、繋がらないときの PC の IP アドレスなどは
どうなっているか、コマンドプロンプトから「ipconfig」コマンドを
実行して、いちおう確認してみては如何でしょう。


>この先のアドバイスを

 CHROME再インストールの結果待ちだと思いますが、Javaも関係あり
そうな気がするので、そっちの方もリフレッシュして様子をみる手も
ありそうです。

http://java.com/ja/download/windows_xpi.jsp?locale=ja&host=java.com:80
補足コメント
3419696

お礼率 21% (319/1460)

たぴたびありがとうございます。
今CHROME を入れ換えています。
試しにFIREFOX が早くダウンロード出来たので試してみましたが
大丈夫でした。IEは依然ダメです。
CHROME の結果を後で書きます。

Java ですか、基本的に何がどう絡んでいるのか理解出来てないアナログ人間なので難しいですが、やってみます。
投稿日時:2011/02/25 18:57
お礼コメント
3419696

お礼率 21% (319/1460)

CHROMEだめでした。いまこれをFIREFOXから書いています。
なんどもログインするのに時間がかかったり、何か重さを感じます。
JAVAもやってみました。これも変わり有りません。

COMMAND PROMPT IPCONFIGもやってみました。

これで何がわかるのでしょうか?
投稿日時:2011/02/25 22:42
18件中 1~10件目を表示
結果を報告する
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。
関連するQ&A

その他の関連するQ&Aをキーワードで探す

ピックアップ

ページ先頭へ