qoqudmtoというEXEファイルが勝手に生成される問題
- qoqudmto.exeというファイルが勝手に生成されて困っています。このファイル自体、無害なのか有害なのかさえ分かりません。
- qoqudmto.exeはQernel Mode Drive Managerとして説明されていますが、ネットでの情報は限られています。
- このファイルはセーフモードでも削除できず、ウィルスソフトでも検出されないため、対策に困っています。リカバリーも最終手段として考えています。
- ベストアンサー
qoqudmtoというEXEファイル
qoqudmto.exeというファイルが勝手に生成されて困っています。 このファイル自体、無害なのか有害なのかさえ分かりません。 このファイルには、 Qernel Mode Drive Manager 会社名:Four-F と説明されていますがネットで検索してもあまり出てきません。 ログインすると、 C:\Documents and Settings\<ユーザー名>\Local Settings C:\WINDOWS\system32 の2箇所に生成されます。 セーフモードでファイルを削除したりレジストリを削除しても次に起動するときには 自動でファイルが生成されたりレジストリも書き換わっています。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ウィルスソフトでのスキャンでも検出されず、何をしようとしているのか分からず 不気味なので2度と出てこないようにしたいです。 リカバリーも考えていますが、最終手段にしたいと思います。 皆さん、お力を貸してください。 ちなみにOSはXPです。
- lovehisa
- お礼率100% (9/9)
- ウィルス・マルウェア
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
確かに qoqudmto.exeでは検索にこの相談しか出てきませんが、 Qernel Mode Drive ManagerとFour-F(進化という意味らしい)では次の二つがヒットします。 http://www.virustotal.com/file-scan/report.html?id=9501748a43148182784cce924d6d0e9f099be305b74397215b8ace55a171bb88-1298264301 http://www.virustotal.com/file-scan/report.html?id=265a65f199ab4e86880c1ec440102ef7d9826ba8bc95ede4e26eeacdf404b7e2-1298076710 ページ下方の[Show all]をクリックすると表示されます。 他にも、algzcu32.exeというのが有りました。 http://systemexplorer.net/db/algzcu32.exe.html ファイルサイズや名称が違いますが publisher....: Four-F copyright....: Copyright (c) 2002-2005 Four-F product......: Qernel Mode Driver Manager description..: Qernel Mode Driver Manager original name: QmdManager.exe internal name: QmdManager file version.: 1, 3, 0, 0 comments.....: Let you install, start, stop and uninstall device drivers verified.....: Unsigned の部分は共通のようです。 ですから、qoqudmto.exeもvirustotal.comにアップロードして検査すれば検出結果が出るでしょう。 削除してもまた出てくるということは、他に隠れた仲間がいるということです。 「ウィルスソフトでのスキャンでも検出されず」ということですので、このPCのWindowsXP上では成す術がありません。 絶対にやってはいけないこと オンラインスキャン・システムの復元・他のスキャンプログラム 何れも事態をより悪くします。 解決方法は健全なPCを借りて、 ノートンユーザーなら ノートン ブータブル リカバリ ツール(要プロダクトキーまたは PIN) http://security.symantec.com/nbrt/nbrt.asp?lcid=1041 その他なら無料で使えるなかで VirusTotalで検出できている AVG Rescue CD http://www.avg.com/us-en/avg-rescue-cd-download BitDefender RescueCD http://download.bitdefender.com/rescue_cd/ をダウンロードして起動CD(Live-CD)に焼き付けて、 問題のPCで起動し、ウイルスパターンファイルをアップデートしてからスキャンします。 ドライブを外して他のWindowsPCの外付けとしてスキャンする事もできますが、幾つかのシステムホルダーがWindowsに保護されて完全なスキャンができません。 Live-CDのように違うOSならWindowsの保護が無効なのでスキャン駆除できるのです。 これで駄目なら、リカバリー(ハードディスクを新しい物にしてください。←重要)しましょう。 ハードディスクはWipe-OUTで、全データ完全消去したものでもOKです。 http://www.wheel.gr.jp/~dai/software/wipe-out/ こうしないと、フォーマットやパーティション削除しても消えないMBRに感染したウイルスなら生き残ってしまいます。
その他の回答 (2)
- Mode-A5620
- ベストアンサー率58% (102/173)
こんばんは、 Qernel Mode Drive Managerで出ました。 新しいマルウエアのようですね。 まだ検出出来て無いソフトが結構あります。 http://www.virustotal.com/file-scan/report.html?id=9501748a43148182784cce924d6d0e9f099be305b74397215b8ace55a171bb88-1298264301 こちらを参考に対処なさってください。 https://www.ccc.go.jp/flow/03/322.html https://www.ccc.go.jp/flow/03/330.html https://www.ccc.go.jp/flow/03/340.html
お礼
まだ、検出できていないマルウェアだったのですね。 どうりで今持っているウィルスソフト(ソースネクスト)では検出できなかったわけです。 名前はおそらくランダムにつけられたものだったのですね。 駆除できるようにがんばってみます。 ありがとうございました!
- segment800
- ベストアンサー率21% (17/80)
apple製品もそうですね、何度レジストリから削除しても復活していて起動をとめれませんでした。 サービスを見てみてはいかがですか? 同様にレジストリから消えてるとレジストリ書き込みするサービスが登録されているかもしれません。 もしくは、当該場所に置いてあるその実行ファイルの元となるファイルがどこかにあるはずです、それをログオン時にコピーしているのかもしれないので、それを検索して削除するとか。
お礼
レジストリを調べてみたら、 HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam のところにも起動する項目が書き込まれていました。 ここも削除して、様子を見てみます。 サービスのところも見てみるということを学びました。 ありがとうございました!
補足
サービスのところを見てみたのですがそれらしいものはなく、スタートアップの項目にqoqudmtoという項目がありました。 場所がSOFTWARE\Microsoft\Windows\CurrentVersion\Run となっていますが、レジストリは削除してあるはずなのになぜかこの項目が残っています。 セーフモード時に無効にしてみましたが、起動時にまた生成されました。
関連するQ&A
- 以前の質問を見ても解決できないWORM_WINUR.C
QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。
- 締切済み
- ウィルス・マルウェア
- スタートアップ項目の削除方法につて
Windows10・64bitのBTOパソコンです。タスクマネジャーのスタートアップの項目にアンインストールしたアプリケーションの項目がいくつか残っています。以下のレジストリを参照しますが、該当のスタートアップの項目が見当たりません。どうぞ、削除方法をご教示ください。よろしくお願いいたします。 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- ベストアンサー
- Windows 10
- TROJ_YATAK.Aについて
ウイルススキャンでTROJ_YATAK.Aが見つかり、http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_YATAK.A にあるとおりにレジストリを削除しようとしたところレジストリの HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run どちらにもTROJ_YATAK.Aで検出されたファイル名がありませんでした。そして、ファイルを削除してウイルススキャンしたところ、次は何も検出されませんでした。このとき、ウイルスが駆除されたと思ってもよろしいのでしょうか? ちなみに、ファイルの場所は web.exe (C:\Documents and Settings\ユーザー名\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.jar-6473b14a-30914df7.zip) です。
- ベストアンサー
- ウィルス・マルウェア
- スパイウェアの削除方法について・・・
PCからたくさんのスパイウェアが検出され、 その大半は削除できたのですが、 以下のファイルは手動でないと削除できないようです。 その削除方法を教えてください。 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-21-2307437357-1763808397-3916703754-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 CnsMin: ライブラリ (ファイル, nothing done) C:\WINDOWS\Downloaded Program Files\CnsMin.dll
- ベストアンサー
- ウィルス・マルウェア
- Windows起動時のエラー表示
Windows起動時の添付画像のエラー表示されます。 webで調べて、レジストリの .HKEY_LOCAL_MACHINE ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥run HKEY_CURRENT_USER ¥Software ¥Microsoft ¥Windows ¥CurrentVersion ¥run など不要なものを削除し、 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup なども削除し、msconfigのシステム構成も、整理しましたが、解決できませんでした。 お詳しい方がいらっしゃいましたら教えてください。 よろしくお願い致します。
- ベストアンサー
- Windows系OS
- レジストリの変更で不具合が起こる可能性
自分はレジストリをいじったことはほとんどないのですが、レジストリを変更したことによって不具合が起こる可能性はあるのでしょうか?OSはWindows7です。 例えば、自分は現在次のレジストリを変更しています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun また、レジストリ関連でもう一つ質問したいのですが、レジストリの作成、追加・削除方法は次の通りで合っていますか? 追加する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=91 削除する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=- これをそれぞれメモ帳に書いて、「.reg」ファイルとして保存する。 これらのレジストリを適用する場合、「.reg」ファイルをダブルクリックする。 回答よろしくお願いします。
- ベストアンサー
- Windows 7
- ウィルス感染BKDR_SDBOT.DP
今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。
- 締切済み
- ウィルス・マルウェア
- Spybotでスキャンした後に・・・
既出でしたら申し訳ありません。 質問ですが、スキャン後に下記の様な結果が毎回出ます。 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-21-1337047737-2646722632-2268318136-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 これは、削除しても良いのでしょうか? 初心者なので良く分かりません。 どなたか良いアドバイスをお願いします。
- ベストアンサー
- スパイウェア
- BKDR_AGENT.ECOの削除できません
BKDR_AGENT.ECOというトロイの木馬に感染してしまい、 ウイルスバスターで検出された {windows\system32\dlha\mstask32.com} {Documents and Setteings\username\Local Settings\Temp\msinfo32.dat} {Documents and Setteings\username\Local Settings\Temp\RTTemp2.exe} の3つのファイルの削除と、 regedit.exeを通常モード、セーフモードで実行して下記のレジストリ値の削除、 (ウイルスバスターHPで対処法として記載) 及びdlhaと検索して検出されるレジストリ値は全て削除したのですが、 再び削除したレジストリ値と 上の検出された3つのファイルが再び作成されてしまいます。 どのように対処すれば宜しいのでしょうか。 宜しくお願い致します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 値: Microsoft Task Scheduler = "<Windowsシステムフォルダ>\dlha\MSTASK32.COM" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 値: Microsoft Task Scheduler = "<Windowsシステムフォルダ>\dlha\MSTASK32.COM"
- 締切済み
- スパイウェア
- ワンクリウェア駆除ツール 後の対応について
はじめまして。 当方、恥ずかしながらアダルトサイトをクリックしてしまい、アダルトサイト請求画面が頻繁に出てしまい、ワンクリウェア駆除ツール を使わせていただきました。 すると以下の画面が表示されました。 確認しましたがパスが記述されていないので削除の必要がないとみて良いでしょうか。 以上、お手数ですが宜しくお願い致します。 『以下のレジストリにパスが記述されていれば削除を推奨 ワンクリサイトからダウンロードしたファイルも残っていれば、削除を推奨。 よくわからなければ、ウイルス対策ソフトが対応するのを待って下さい。 全ファイル&フォルダの表示設定 higaitaisaku.com http://www.higaitaisaku.com/zenhyoji.html www.ero-filehost.com www.kiss-of-adult.com / www.lady-impact.com [HKEY_CURRENT_USER\Software\Path\D209HF6AFC36E9BA]path [HKEY_CURRENT_USER\Software\Path\D209HF6AFC36E9BA]htmlpath [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]www.kiss-of-adult.com [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][ProductId]KA [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]www.kiss-of-adult.com.html [HKEY_CURRENT_USER\Software\Path\JUGCGTGSTVSL8TUH]path [HKEY_CURRENT_USER\Software\Path\JUGCGTGSTVSL8TUH]htmlpath [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]www.lady-impact.com.html [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]www.lady-impact.com www.adult-dougaga.com 』
- ベストアンサー
- ネットワーク
お礼
ウィルス関係で一度システムの復元で失敗しているので今回はやらないでおきます。 まずはこのウィルスを検出可だったAVGのRescue CDを作って試してみます。 LIVE-CDから徹底的にスキャンしてみて、それでも見つからなかったら観念してリカバリしてみます。 とても参考になりました。ありがとうございます!