- ベストアンサー
qoqudmtoというEXEファイルが勝手に生成される問題
- qoqudmto.exeというファイルが勝手に生成されて困っています。このファイル自体、無害なのか有害なのかさえ分かりません。
- qoqudmto.exeはQernel Mode Drive Managerとして説明されていますが、ネットでの情報は限られています。
- このファイルはセーフモードでも削除できず、ウィルスソフトでも検出されないため、対策に困っています。リカバリーも最終手段として考えています。
- lovehisa
- お礼率100% (9/9)
- ウィルス・マルウェア
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
確かに qoqudmto.exeでは検索にこの相談しか出てきませんが、 Qernel Mode Drive ManagerとFour-F(進化という意味らしい)では次の二つがヒットします。 http://www.virustotal.com/file-scan/report.html?id=9501748a43148182784cce924d6d0e9f099be305b74397215b8ace55a171bb88-1298264301 http://www.virustotal.com/file-scan/report.html?id=265a65f199ab4e86880c1ec440102ef7d9826ba8bc95ede4e26eeacdf404b7e2-1298076710 ページ下方の[Show all]をクリックすると表示されます。 他にも、algzcu32.exeというのが有りました。 http://systemexplorer.net/db/algzcu32.exe.html ファイルサイズや名称が違いますが publisher....: Four-F copyright....: Copyright (c) 2002-2005 Four-F product......: Qernel Mode Driver Manager description..: Qernel Mode Driver Manager original name: QmdManager.exe internal name: QmdManager file version.: 1, 3, 0, 0 comments.....: Let you install, start, stop and uninstall device drivers verified.....: Unsigned の部分は共通のようです。 ですから、qoqudmto.exeもvirustotal.comにアップロードして検査すれば検出結果が出るでしょう。 削除してもまた出てくるということは、他に隠れた仲間がいるということです。 「ウィルスソフトでのスキャンでも検出されず」ということですので、このPCのWindowsXP上では成す術がありません。 絶対にやってはいけないこと オンラインスキャン・システムの復元・他のスキャンプログラム 何れも事態をより悪くします。 解決方法は健全なPCを借りて、 ノートンユーザーなら ノートン ブータブル リカバリ ツール(要プロダクトキーまたは PIN) http://security.symantec.com/nbrt/nbrt.asp?lcid=1041 その他なら無料で使えるなかで VirusTotalで検出できている AVG Rescue CD http://www.avg.com/us-en/avg-rescue-cd-download BitDefender RescueCD http://download.bitdefender.com/rescue_cd/ をダウンロードして起動CD(Live-CD)に焼き付けて、 問題のPCで起動し、ウイルスパターンファイルをアップデートしてからスキャンします。 ドライブを外して他のWindowsPCの外付けとしてスキャンする事もできますが、幾つかのシステムホルダーがWindowsに保護されて完全なスキャンができません。 Live-CDのように違うOSならWindowsの保護が無効なのでスキャン駆除できるのです。 これで駄目なら、リカバリー(ハードディスクを新しい物にしてください。←重要)しましょう。 ハードディスクはWipe-OUTで、全データ完全消去したものでもOKです。 http://www.wheel.gr.jp/~dai/software/wipe-out/ こうしないと、フォーマットやパーティション削除しても消えないMBRに感染したウイルスなら生き残ってしまいます。
その他の回答 (2)
- Mode-A5620
- ベストアンサー率58% (102/173)
こんばんは、 Qernel Mode Drive Managerで出ました。 新しいマルウエアのようですね。 まだ検出出来て無いソフトが結構あります。 http://www.virustotal.com/file-scan/report.html?id=9501748a43148182784cce924d6d0e9f099be305b74397215b8ace55a171bb88-1298264301 こちらを参考に対処なさってください。 https://www.ccc.go.jp/flow/03/322.html https://www.ccc.go.jp/flow/03/330.html https://www.ccc.go.jp/flow/03/340.html
お礼
まだ、検出できていないマルウェアだったのですね。 どうりで今持っているウィルスソフト(ソースネクスト)では検出できなかったわけです。 名前はおそらくランダムにつけられたものだったのですね。 駆除できるようにがんばってみます。 ありがとうございました!
- segment800
- ベストアンサー率21% (17/80)
apple製品もそうですね、何度レジストリから削除しても復活していて起動をとめれませんでした。 サービスを見てみてはいかがですか? 同様にレジストリから消えてるとレジストリ書き込みするサービスが登録されているかもしれません。 もしくは、当該場所に置いてあるその実行ファイルの元となるファイルがどこかにあるはずです、それをログオン時にコピーしているのかもしれないので、それを検索して削除するとか。
お礼
レジストリを調べてみたら、 HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam のところにも起動する項目が書き込まれていました。 ここも削除して、様子を見てみます。 サービスのところも見てみるということを学びました。 ありがとうございました!
補足
サービスのところを見てみたのですがそれらしいものはなく、スタートアップの項目にqoqudmtoという項目がありました。 場所がSOFTWARE\Microsoft\Windows\CurrentVersion\Run となっていますが、レジストリは削除してあるはずなのになぜかこの項目が残っています。 セーフモード時に無効にしてみましたが、起動時にまた生成されました。
お礼
ウィルス関係で一度システムの復元で失敗しているので今回はやらないでおきます。 まずはこのウィルスを検出可だったAVGのRescue CDを作って試してみます。 LIVE-CDから徹底的にスキャンしてみて、それでも見つからなかったら観念してリカバリしてみます。 とても参考になりました。ありがとうございます!