セキュリティ アワード
secur1ty.blog116.fc2.com
BitDefender Online Scanでウイルスをスキャンせよ
Malware City
プロフィール

トライデント最高司令

Author:トライデント最高司令
気分は永遠の20歳。京大中退。某バイオテクノロジー企業取締役。ウイルス・微生物・細菌、ガン化学療法を主に研究中。愛車は真っ赤なブガッティ・ヴェイロン。全国駆け巡ってるのですれ違ったら宜しく。

【今日のぼやき...】

ご報告が遅くなりましたが、先月より仕事でフランスへ飛んでおります。フランスからだと回線の関係で日本へのアクセスが非常に遅く、データ容量も大きいので通信料が高額になるため、おちおちネットができません(T T)帰るのは年末になりそうです。それまでブログの更新が停滞しますが、ご理解のほどをお願いします。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
-

Comment

  1. 大猫

    大猫

    2011-02-18 (Fri) 06:06

    知恵袋でkoumeさんのスレ見るまで気付きませんでした。(^_^.)

    ありがとうございました。<(^_^)
  2. にゃん

    にゃん

    2011-02-18 (Fri) 17:14

    はじめまして。
    弟がパソコンを使ってantivira avに感染してしまいました。
    ご指示の通り駆除しようとしたのですが、うまくいきません…
    セーフモードとインターネットで起動させたあと、接続タブからチェックをはずしてソフトをダウンロードしようとしたのですがインターネットにつながりません…
    私はイーモバイルを使っているのですが、接続のボタンが反応しません。これではつながらないのでしょうか?
    パソコンを使い始めたばかりでわからないことも多いですがよろしくお願いします。


  3. にゃん

    にゃん

    2011-02-18 (Fri) 17:28

    ×セーフモードとインターネット
    ○セーフモードとネットワーク
    でした。ごめんなさい(>_<)
  4. トライデント最高司令

    トライデント最高司令

    2011-02-19 (Sat) 07:19

    ネットに接続できませんか。イーモバイルということは、無線通信ということですよね。セーフモードだと無線通信は使えなかった気がします。

    危険度が高く、オススメしてこなかった最後の手段をご紹介しますので、試してください。

    PCを通常モードで動かしたほうがいいですが、通常モードで操作が困難なようなら、セーフモードでもOKです。

    1)まず、スタートメニュー(画面の左下、Windowsのマークがあるところ)をクリックして開き、検索欄に「regedit」と打ち込んでEnterキーを押す。

    2)すると、レジストリエディタというものが開きますね。画面が二つに分かれていますね?それの、左半分に注目してください。HKEYとか書いてありますよね。

    3)そのなかの「HKEY_LOCAL_MACHINE」というのをダブルクリックして下さい。ズラッとさらにいろんなモノが表示されるはずです。
    開いた中から「SOFTWARE」を探し「Microsoft」→「Windows」→「CurrentVersion」→「Run」まで進めてください。

    4)すると、右側の画面に「ab」というアイコンでいくつか表示されますよね。その中にランダムな名前のキーが混じっていませんか?それを「右クリック」→「削除」します。警告が表示されますが「はい」をクリック。

    難しいと思うので、とりあえずここまでやってみてください。できたら続きを指示しますので。お待ちしています。
  5. にゃん

    にゃん

    2011-02-19 (Sat) 12:53

    お返事ありがとうございます。
    通常モードではブロックされたので、セーフモードとネットワークから作業してみました。このコメントは別のPCから書いています。

    「RUN」まで行って表示してみたのですが、どれを消して良いのかわかりません。一見したところ怪しいものがないので…
    一覧を書き出します。どれを消したら良いのかご指示をお願いします。

    名前 データの順で書きます。種類は全部 REG_SZ です。

    Adobe ARM
    "C:¥Program Files¥Commom Files¥Adobe¥ARM¥1.0AdobeARM.exe"

    Adobe Reader Speed Launcer
    "C:¥Program Files¥Adobe¥Reader 9.0¥Reader¥_sl.exe"

    AGRSMMSG
    AGRSMMSG.exe

    avast5
    C:¥PROGRA~1¥ALWILS~1Avast5¥avastUIexe/nogui

    FJUPDNV_Chitose
    C:¥Program Files¥Fujitsu\chitose\updatenv.exe

    Google Quick Search Box
    Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

    HP Software Update
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

    IMJPMIG8.1
    "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil/RemAdvDef/Migration32

    IMJPMIG9.0
    C:\PROGRA~1\COMMOM~1\MICROS~1\IME\IMJPMIG.EXE /Preload /Migration32

    IndicatorUtility
    C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe

    INETCONDSP
    "C:\Program Files\Fujitsu\iNetConDsp\iNetconDsp.exe"

    IRRCManager
    C:\Program Files\Fujitsu\リモコンマネージャー\IRRCManager.exe

    KPDrv4Xp
    "C:\Program Files\Fujitsu RF comfort keyboard\KPDrv4XP.EXE"

    LoadBthHnd
    C:\Program Files\Fujitsu\BthHnd\BthHnd.exe

    LoadFUJ02E3
    C:\Program Files\Fujitsu\FUJ02E03\FUJ02E03.exe

    LoadFujitsuQuickTouch
    C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe

    MyMedia Server Helper
    "C:\Program Files\Fujitsu\MyMedia\MyMedia Server Tool\MyMediaServerHelper.exe"

    PHIME2002A
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

    PHIME2002ASync
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

    SoundMan
    SOUNDMAN.EXE

    SunjavaUpdateSched
    C:\Program Files\Java\jre1.5.0_01\jusched.exe

    以上です。
    長くなりましたがよろしくお願いいたします。

    あっ、実は私はトライデント最高司令さんの現役の後輩です。(法学部ですが…)時計台は改修工事が済んできれいになりましたよ~。







  6. にゃん

    にゃん

    2011-02-19 (Sat) 16:32

    「セーフモード」で起動

    →スタートメニューから「ファイル名を指定して実行」を選択

    ① %Temp% を打ち込んだとき

    たくさんあるファイルの中に「ydigipiqi」というものがありました。
    いかにも怪しく、クリックしてみたら実行され、通常モードで起動しときと同じようにantivira avが悪さをしはじめました。

    ② regedit を打ち込んだとき

    HKEY_CURRENT_USER  → Software → Microsoft →  Windows → CurrentVersion → Run

    と下っていくと、①で見つけたのと似たデータを見つけました。

    fruofojv
    C:\DOCUME~1\Owner\LOCALS~1\Temp\ydigipjqi\wfytefgsikk.exe

    というものです。

    これは①と②のどちらで消した方がよろしいのでしょうか?
    消した後はどのような手順があるのでしょうか?
    よろしくお願いいたします。
  7. トライデント最高司令

    トライデント最高司令

    2011-02-19 (Sat) 20:06

    すみませんお待たせしました。

    レジストリエディタでの作業、HKEY_LOCAL_MACHINEには悪性エントリは無いようですね。

    TEMP及びHKEY_CURRENT_USERでのエントリはビンゴですね。凄いですよ自力でそこまで見つけられるのは。

    まず先に、レジストリキーの方を削除願います。続いてTEMPフォルダ内のAntivira AV本体を削除してください。

    これらを削除し終えたら、PCを通常モードで起動しなおしてみてください。どうでしょうか?Antivira Avは死んでいますか?

    その後念のため、MBAMでのウイルススキャンを行っておくことをオススメします。また「再感染を防ぐために...」の部分を熟読して今後の感染を防止していただきますようお願いします。


    にゃんさんは法学部の学生さんでしたか!法学部というと吉田キャンパスでしょう?良いですねえ。僕ら理系学部は昔から桂にキャンパスがあったもんで、吉田キャンパスで勉強できる人が羨ましかったのをよく覚えていますよ。京大といえば時計台とクスノキのある広場をイメージしますからね~(笑)

    しかも当時桂なんて遊ぶ場所も何もないから、繁華街と近いところに通っている人をますます恨めしく思ったもんです。今はどうなんだろうか?

    では、与太話が過ぎましたが、また機会ありましたらよろしくお願いしますね。







  8. にゃん

    にゃん

    2011-02-20 (Sun) 01:51

    本当にありがとうございました。
    セーフモードで消した後、通常モードで立ち上げたらいなくなっていました~!
    本当に丁寧なご指示をありがとうございます。

    おっしゃった通りに、「再感染を防止するために」という項目を見てJavaを最新のものにしました。
    その後、Adobeも最新のものにしようして、Readerの方は最新だったのですが、Flash Playerが古かったので変えようとしてちょっと行き詰まってしまいました。

    Adobe Flash Player 10 ActiveX (バージョンは10.1.82.76)
    と、
    Adobe Flash Player 10 Plugin (バージョンは10.1.53.64)
    の2つは「コントロールパネル」の「プログラムの追加と削除」から削除してもよろしいのでしょうか?
    名前が違うので消して良いのかためらってしまって…
    本当に初心者の質問で申し訳ありません。

    桂キャンパスだったんですね。時計台の下から直行バスがでていますよね。実はまだ行ったことないんです…
    今度行ってみますね。学食に違いはあるのかなぁ。

  9. トライデント最高司令

    トライデント最高司令

    2011-02-20 (Sun) 03:31

    Adobe Flash Playerの種類ですが、ActiveXの方はインターネットエクスプローラ、Pluginは、Firefoxなどのブラウザで使われるタイプなので、どちらも通常通り、古いバージョンを削除した後に、それぞれのブラウザでAdobe Flash Playerのインストールを行ってください。

    インターネットエクスプローラからは、インターネットエクスプローラ専用のFlash Playerが、その他のブラウザからは、Plugin形式のFlash Playerしかダウンロードできませんので、ご注意ください。


    学食と言えば、ロコモコなんて斬新なモノが当時からメニューにあったのをよく覚えていますよ。でも研究とかが忙しかったので、一日中実験室にこもったりということも良くあって、あまり利用はしなかったですね。あのロコモコとやらは美味しかったんだろうか。気にしながらも試さなかった自分をちょっと後悔しています。
  10. にゃん

    にゃん

    2011-02-20 (Sun) 13:42

    本当に初歩的なことからご丁寧に教えていただきありがとうございました。

    ウィルスを退治できて、脆弱性の緩和もできて本当に感謝しています。

    実は弟が何かのファイルをダウンロードしようとしてファイアウォールを切っていたのが原因だったのかもしれません…

    ロコモコですか?あれ…実は…なんと!

    カレー味なんです!

    吉田キャンパスの正門でも売られていますが、学長カレーというものがかかっています。
    500円返せ~って友だちと笑って食べました。
    確かにカレーと同じ台車で売られていたけれど、まさかって感じでした。


  11. トライデント最高司令

    トライデント最高司令

    2011-02-20 (Sun) 18:29

    本当に良かったですね。でも、今回の駆除はCURRENT_USERのレジストリキーを見つけた、にゃんさんの機転によるものが大きいですよ。お見事でした。そして、お疲れさまでした。

    ウイルスというのは厄介ですよね。感染しないためにも今後、ソフトのアップデートを頻繁に確認してセキュリティ維持に努めてください。

    ロコモコ正門前でも売っていますか?!吉田キャンパスには週一ぐらいでお邪魔しているんですが、気付かなかった。学長カレーって美味しいらしいですね。今度買いに行ってみようかしらん。そのときもしかしたら、すれ違うこともあるかもしれませんね(笑)

    よろしければ、また暇なときにでもここを覗いてやってください。

    それでは。楽しかったです。

  12. ロコ

    ロコ

    2011-02-21 (Mon) 15:16

    初めまして、こちらに辿り着いて本当に助かりました。
    最後のところが不安でどれを削除して良いのか解らないので
    教えてほしいです。
    HKEY_CURRENT_USER Software Microsoft Windows Current Version Run の後になります。
    ab(既定)REG_SZ (値の設定なし)
    ab bbnyvvpl REG_SZ  c:DOCUME~ 1DELL LOCALS~ 1Temp ikmiwqbmy....
    ab ctfmon.exe REG_SZ c:WINDOWS system32ctfmon.exe
    ab EPSON PM-A840S REG_SZ c:WINDOWS system32spool DRIVERS W32X863...
    ab MSMSGS REG_SZc:Program Files Messenger msmsgs.exe~/backg...
    ab swg REG_SZ c:Program Files Google Google Toolbar   NotifierG...
    以上6個です。
    お忙しい中大変申し訳御座いませんが宜しくお願い致します。
  13. トライデント最高司令

    トライデント最高司令

    2011-02-21 (Mon) 16:16

    パスが最後まで書かれていませんが、可能性の高いモノは

    ab bbnyvvpl REG_SZ  c:DOCUME~1DELLLOCALS~1Tempikmiwqbmy....

    の部分かと思われます。これを右クリックして削除してください。

    このキーを消した後、%TEMP%フォルダ内のランダムなEXEファイルを消すことも忘れないでください。
  14. ロコ

    ロコ

    2011-02-21 (Mon) 19:01

    pcが復活いたしました。pq
    感謝 感謝です。
    本当に有難う御座いました。
  15. トライデント最高司令

    トライデント最高司令

    2011-02-22 (Tue) 01:53

    良かったですね。今後はウイルス感染しないよう、万全の対策をお願いします。「再感染を防止するために」の部分をご覧くださればひと通りの対策は済むようになっておりますので。

Comment Form

Comment Form
管理者にだけ表示を許可する
-

Trackback

Trackback URL

30

Antivira AV駆除に失敗する場合の対処法



Antivira AVという偽アンチウイルスソフトが流行していますが、昨日あたりから「駆除プロセスを完了したのに、PCを再起動したら何食わぬ顔でAntivira AVが復活していた」との報告が続々寄せられています。う~ん、Antivira AVがアップデートされたんだろうか...。とにかく、「この方法で駆除できたよ」とコメントしてくださった親切な方がいらっしゃいましたので、
ここに書かせていただきます。コメント下さったオルシナスさん、ありがとうございました。

駆除に失敗する場合の対処法は・・・

1)まず、PCをセーフモードとネットワークで起動し、以下のサイトからHijackThisというソフトをダウンロードします。

HijackThisダウンロード:free.antivirus.com/hijackthis/

バージョンが二つあるかと思いますが(Beta)の表記がない方、つまり安定版をダウンロードして下さい。執筆現在の最新安定版は2.0.4です。

なお、インストール不要な「Executable」の方が手間がかからずオススメです。

2)ダウンロードが終了したら、PCを通常のモードで起動しなおしますセーフモードでHijackThisを使用した場合、不具合が起きることもあります。必ず再起動は必要です。起動したら、先程の駆除で使用したrKillというツールを再度ダブルクリックで実行し、HijackThisの起動を妨害するプロセスを抹殺します。rKillの起動に手間取る場合は、rKillのファイル名を変更すると良いかもしれません。

3)HijackThisをダブルクリックで起動します。ライセンスを承諾する必要があるので「I Accept」をクリックして進んでください。

4)「Do a system scan only」をクリックして、システムのスキャンを始めます。注意書きが表示されますので「OK」をクリックして進めてください。スキャンは数十秒程度で完了します。

ここからはよく読んで、注意深く作業を進めてください。HijackThisは便利なツールですが、間違えるとトンデモナイことになります。間違えないよう、安易な作業はしないでください。

5)スキャンが完了すると、なにやらリストのようなもの(ログといいます)が表示されるはずです。ただし、これらは必ずしもウイルスではないので、間違えないように注意して下さい。その中から、以下のエントリを見つけてください。

→ O4 – HKCU\..\Run: [{ランダム}] {パス}\Temp\{ランダム}.exe

イメージをつかみやすくするため、以下に例を示しておきます。ただし、各PCによって「ランダム」「パス」部分は異なるため、これと完全一致するエントリがあるというわけではありません。注意してください。

例:
O4 – HKCU\..\Run: [cudpdogk] C:\Users\User\AppData\Local\akotrowvc\bcgcihiagnz.exe

ヒント:HijackThisで採取されたログの冒頭部分に「O4」と書いてあるエントリに注目すると、探しやすくなります。
自力でエントリが見つけられない場合、必ず一旦HijackThisを再起動し、「Do a system scan and save a logfile」をクリックして再度ログを採取しなおした上で、ここのコメント欄に「O4」で始まるエントリのみを貼りつけて指示を仰いでください。ただし、管理人の都合により指示が遅れる場合があります。予めご理解ください。

6)自力でエントリが見つけられた人は、そのエントリの横に□のチェックボックスがありますので、それに✔を入れてください誤って違うエントリに✔をつけないよう注意してください。

7)エントリにチェックを入れたら、「Fix checked」をクリックします。これにより、ウイルスが駆除されます。

8)HijackThisでの作業は完了です。念のため、ATF-Cleanerを実行してからPCを再起動してください。

【重要】再感染を防止するために...

再感染を防ぐため、駆除作業が終わってから、次のソフトウェアのアップデートをご確認いただきますようお願いいたします。今回の感染は確実に「脆弱性対策の不徹底」が原因であり、これを対策しなければ、同様のウイルスに再感染する危険があります。

・Javaのアップデートを確認してください(先日、アップデートが公開されました)
secur1ty.blog116.fc2.com/blog-entry-24.html

・Adobe関連ソフトは最新になっていますか?(こちらも先日アップデートがあったばかりです)
secur1ty.blog116.fc2.com/blog-entry-18.html

以下の知恵袋での質疑応答も併せて御覧ください。

・脆弱性とはそもそも何か?脆弱性対策の重要性 
detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1252417427

感染者の皆さんが、今回の感染から「最新のソフトを使う大切さ」を学びとっていただければ本望です。

【免責】

なるべく問い合わせには対応していきたいと思っていますが、多忙のため、駆除方法についてコメントで質問いただいても、サポートが望めないことがあります。なにとぞご了承ください。




15

Comment

  1. 大猫

    大猫

    2011-02-18 (Fri) 06:06

    知恵袋でkoumeさんのスレ見るまで気付きませんでした。(^_^.)

    ありがとうございました。<(^_^)
  2. にゃん

    にゃん

    2011-02-18 (Fri) 17:14

    はじめまして。
    弟がパソコンを使ってantivira avに感染してしまいました。
    ご指示の通り駆除しようとしたのですが、うまくいきません…
    セーフモードとインターネットで起動させたあと、接続タブからチェックをはずしてソフトをダウンロードしようとしたのですがインターネットにつながりません…
    私はイーモバイルを使っているのですが、接続のボタンが反応しません。これではつながらないのでしょうか?
    パソコンを使い始めたばかりでわからないことも多いですがよろしくお願いします。


  3. にゃん

    にゃん

    2011-02-18 (Fri) 17:28

    ×セーフモードとインターネット
    ○セーフモードとネットワーク
    でした。ごめんなさい(>_<)
  4. トライデント最高司令

    トライデント最高司令

    2011-02-19 (Sat) 07:19

    ネットに接続できませんか。イーモバイルということは、無線通信ということですよね。セーフモードだと無線通信は使えなかった気がします。

    危険度が高く、オススメしてこなかった最後の手段をご紹介しますので、試してください。

    PCを通常モードで動かしたほうがいいですが、通常モードで操作が困難なようなら、セーフモードでもOKです。

    1)まず、スタートメニュー(画面の左下、Windowsのマークがあるところ)をクリックして開き、検索欄に「regedit」と打ち込んでEnterキーを押す。

    2)すると、レジストリエディタというものが開きますね。画面が二つに分かれていますね?それの、左半分に注目してください。HKEYとか書いてありますよね。

    3)そのなかの「HKEY_LOCAL_MACHINE」というのをダブルクリックして下さい。ズラッとさらにいろんなモノが表示されるはずです。
    開いた中から「SOFTWARE」を探し「Microsoft」→「Windows」→「CurrentVersion」→「Run」まで進めてください。

    4)すると、右側の画面に「ab」というアイコンでいくつか表示されますよね。その中にランダムな名前のキーが混じっていませんか?それを「右クリック」→「削除」します。警告が表示されますが「はい」をクリック。

    難しいと思うので、とりあえずここまでやってみてください。できたら続きを指示しますので。お待ちしています。
  5. にゃん

    にゃん

    2011-02-19 (Sat) 12:53

    お返事ありがとうございます。
    通常モードではブロックされたので、セーフモードとネットワークから作業してみました。このコメントは別のPCから書いています。

    「RUN」まで行って表示してみたのですが、どれを消して良いのかわかりません。一見したところ怪しいものがないので…
    一覧を書き出します。どれを消したら良いのかご指示をお願いします。

    名前 データの順で書きます。種類は全部 REG_SZ です。

    Adobe ARM
    "C:¥Program Files¥Commom Files¥Adobe¥ARM¥1.0AdobeARM.exe"

    Adobe Reader Speed Launcer
    "C:¥Program Files¥Adobe¥Reader 9.0¥Reader¥_sl.exe"

    AGRSMMSG
    AGRSMMSG.exe

    avast5
    C:¥PROGRA~1¥ALWILS~1Avast5¥avastUIexe/nogui

    FJUPDNV_Chitose
    C:¥Program Files¥Fujitsu\chitose\updatenv.exe

    Google Quick Search Box
    Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

    HP Software Update
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

    IMJPMIG8.1
    "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil/RemAdvDef/Migration32

    IMJPMIG9.0
    C:\PROGRA~1\COMMOM~1\MICROS~1\IME\IMJPMIG.EXE /Preload /Migration32

    IndicatorUtility
    C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe

    INETCONDSP
    "C:\Program Files\Fujitsu\iNetConDsp\iNetconDsp.exe"

    IRRCManager
    C:\Program Files\Fujitsu\リモコンマネージャー\IRRCManager.exe

    KPDrv4Xp
    "C:\Program Files\Fujitsu RF comfort keyboard\KPDrv4XP.EXE"

    LoadBthHnd
    C:\Program Files\Fujitsu\BthHnd\BthHnd.exe

    LoadFUJ02E3
    C:\Program Files\Fujitsu\FUJ02E03\FUJ02E03.exe

    LoadFujitsuQuickTouch
    C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe

    MyMedia Server Helper
    "C:\Program Files\Fujitsu\MyMedia\MyMedia Server Tool\MyMediaServerHelper.exe"

    PHIME2002A
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

    PHIME2002ASync
    C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

    SoundMan
    SOUNDMAN.EXE

    SunjavaUpdateSched
    C:\Program Files\Java\jre1.5.0_01\jusched.exe

    以上です。
    長くなりましたがよろしくお願いいたします。

    あっ、実は私はトライデント最高司令さんの現役の後輩です。(法学部ですが…)時計台は改修工事が済んできれいになりましたよ~。







  6. にゃん

    にゃん

    2011-02-19 (Sat) 16:32

    「セーフモード」で起動

    →スタートメニューから「ファイル名を指定して実行」を選択

    ① %Temp% を打ち込んだとき

    たくさんあるファイルの中に「ydigipiqi」というものがありました。
    いかにも怪しく、クリックしてみたら実行され、通常モードで起動しときと同じようにantivira avが悪さをしはじめました。

    ② regedit を打ち込んだとき

    HKEY_CURRENT_USER  → Software → Microsoft →  Windows → CurrentVersion → Run

    と下っていくと、①で見つけたのと似たデータを見つけました。

    fruofojv
    C:\DOCUME~1\Owner\LOCALS~1\Temp\ydigipjqi\wfytefgsikk.exe

    というものです。

    これは①と②のどちらで消した方がよろしいのでしょうか?
    消した後はどのような手順があるのでしょうか?
    よろしくお願いいたします。
  7. トライデント最高司令

    トライデント最高司令

    2011-02-19 (Sat) 20:06

    すみませんお待たせしました。

    レジストリエディタでの作業、HKEY_LOCAL_MACHINEには悪性エントリは無いようですね。

    TEMP及びHKEY_CURRENT_USERでのエントリはビンゴですね。凄いですよ自力でそこまで見つけられるのは。

    まず先に、レジストリキーの方を削除願います。続いてTEMPフォルダ内のAntivira AV本体を削除してください。

    これらを削除し終えたら、PCを通常モードで起動しなおしてみてください。どうでしょうか?Antivira Avは死んでいますか?

    その後念のため、MBAMでのウイルススキャンを行っておくことをオススメします。また「再感染を防ぐために...」の部分を熟読して今後の感染を防止していただきますようお願いします。


    にゃんさんは法学部の学生さんでしたか!法学部というと吉田キャンパスでしょう?良いですねえ。僕ら理系学部は昔から桂にキャンパスがあったもんで、吉田キャンパスで勉強できる人が羨ましかったのをよく覚えていますよ。京大といえば時計台とクスノキのある広場をイメージしますからね~(笑)

    しかも当時桂なんて遊ぶ場所も何もないから、繁華街と近いところに通っている人をますます恨めしく思ったもんです。今はどうなんだろうか?

    では、与太話が過ぎましたが、また機会ありましたらよろしくお願いしますね。







  8. にゃん

    にゃん

    2011-02-20 (Sun) 01:51

    本当にありがとうございました。
    セーフモードで消した後、通常モードで立ち上げたらいなくなっていました~!
    本当に丁寧なご指示をありがとうございます。

    おっしゃった通りに、「再感染を防止するために」という項目を見てJavaを最新のものにしました。
    その後、Adobeも最新のものにしようして、Readerの方は最新だったのですが、Flash Playerが古かったので変えようとしてちょっと行き詰まってしまいました。

    Adobe Flash Player 10 ActiveX (バージョンは10.1.82.76)
    と、
    Adobe Flash Player 10 Plugin (バージョンは10.1.53.64)
    の2つは「コントロールパネル」の「プログラムの追加と削除」から削除してもよろしいのでしょうか?
    名前が違うので消して良いのかためらってしまって…
    本当に初心者の質問で申し訳ありません。

    桂キャンパスだったんですね。時計台の下から直行バスがでていますよね。実はまだ行ったことないんです…
    今度行ってみますね。学食に違いはあるのかなぁ。

  9. トライデント最高司令

    トライデント最高司令

    2011-02-20 (Sun) 03:31

    Adobe Flash Playerの種類ですが、ActiveXの方はインターネットエクスプローラ、Pluginは、Firefoxなどのブラウザで使われるタイプなので、どちらも通常通り、古いバージョンを削除した後に、それぞれのブラウザでAdobe Flash Playerのインストールを行ってください。

    インターネットエクスプローラからは、インターネットエクスプローラ専用のFlash Playerが、その他のブラウザからは、Plugin形式のFlash Playerしかダウンロードできませんので、ご注意ください。


    学食と言えば、ロコモコなんて斬新なモノが当時からメニューにあったのをよく覚えていますよ。でも研究とかが忙しかったので、一日中実験室にこもったりということも良くあって、あまり利用はしなかったですね。あのロコモコとやらは美味しかったんだろうか。気にしながらも試さなかった自分をちょっと後悔しています。
  10. にゃん

    にゃん

    2011-02-20 (Sun) 13:42

    本当に初歩的なことからご丁寧に教えていただきありがとうございました。

    ウィルスを退治できて、脆弱性の緩和もできて本当に感謝しています。

    実は弟が何かのファイルをダウンロードしようとしてファイアウォールを切っていたのが原因だったのかもしれません…

    ロコモコですか?あれ…実は…なんと!

    カレー味なんです!

    吉田キャンパスの正門でも売られていますが、学長カレーというものがかかっています。
    500円返せ~って友だちと笑って食べました。
    確かにカレーと同じ台車で売られていたけれど、まさかって感じでした。


  11. トライデント最高司令

    トライデント最高司令

    2011-02-20 (Sun) 18:29

    本当に良かったですね。でも、今回の駆除はCURRENT_USERのレジストリキーを見つけた、にゃんさんの機転によるものが大きいですよ。お見事でした。そして、お疲れさまでした。

    ウイルスというのは厄介ですよね。感染しないためにも今後、ソフトのアップデートを頻繁に確認してセキュリティ維持に努めてください。

    ロコモコ正門前でも売っていますか?!吉田キャンパスには週一ぐらいでお邪魔しているんですが、気付かなかった。学長カレーって美味しいらしいですね。今度買いに行ってみようかしらん。そのときもしかしたら、すれ違うこともあるかもしれませんね(笑)

    よろしければ、また暇なときにでもここを覗いてやってください。

    それでは。楽しかったです。

  12. ロコ

    ロコ

    2011-02-21 (Mon) 15:16

    初めまして、こちらに辿り着いて本当に助かりました。
    最後のところが不安でどれを削除して良いのか解らないので
    教えてほしいです。
    HKEY_CURRENT_USER Software Microsoft Windows Current Version Run の後になります。
    ab(既定)REG_SZ (値の設定なし)
    ab bbnyvvpl REG_SZ  c:DOCUME~ 1DELL LOCALS~ 1Temp ikmiwqbmy....
    ab ctfmon.exe REG_SZ c:WINDOWS system32ctfmon.exe
    ab EPSON PM-A840S REG_SZ c:WINDOWS system32spool DRIVERS W32X863...
    ab MSMSGS REG_SZc:Program Files Messenger msmsgs.exe~/backg...
    ab swg REG_SZ c:Program Files Google Google Toolbar   NotifierG...
    以上6個です。
    お忙しい中大変申し訳御座いませんが宜しくお願い致します。
  13. トライデント最高司令

    トライデント最高司令

    2011-02-21 (Mon) 16:16

    パスが最後まで書かれていませんが、可能性の高いモノは

    ab bbnyvvpl REG_SZ  c:DOCUME~1DELLLOCALS~1Tempikmiwqbmy....

    の部分かと思われます。これを右クリックして削除してください。

    このキーを消した後、%TEMP%フォルダ内のランダムなEXEファイルを消すことも忘れないでください。
  14. ロコ

    ロコ

    2011-02-21 (Mon) 19:01

    pcが復活いたしました。pq
    感謝 感謝です。
    本当に有難う御座いました。
  15. トライデント最高司令

    トライデント最高司令

    2011-02-22 (Tue) 01:53

    良かったですね。今後はウイルス感染しないよう、万全の対策をお願いします。「再感染を防止するために」の部分をご覧くださればひと通りの対策は済むようになっておりますので。

Comment Form

Comment Form
管理者にだけ表示を許可する
0

Trackback

Trackback URL

検索フォーム
わぃわぃセキュカテ
メールフォーム(テスト中です。まだお使いにはなれません)

名前:
メール:
件名:
本文:

QRコード
QR
Giveaway of the Day
当ブログは 安全で快適なFirefox ウェブブラウザの使用を推奨します
Firefox ブラウザ無料ダウンロード
震災義援金を募集中
FC2「東北地方太平洋沖地震」義援金募集につきまして
Return to Pagetop
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。