起動するたび「NTRootKit-FU」が復活

オンラインスキャンの「スパイウェアガイドhttp://www.shareedge.com/spywareguide/txt_online …」を使用しています。（ほかにspybotも使用）

NTRootKit-FUというスパイウェア(?)が発見され、そのたび駆除するのですが、ＸＰ終了後、再び起動して念のためスパイウェアガイドで検索をかけるのですが、毎回復活していて困っています。

「根元」から除去するにはどのように対処すればよろしいでしょうか？
パソコンを一通り扱う程度(書類作成・ネット等)はできますが、ウイルスやスパイウェアについては全く初心者です。
詳しい方がおられましたら、どうぞよろしくお願いいたします。

No.4 ベストアンサー 回答者： FMVNB50GJ 回答日時： 2006/11/20 11:15

tempフォルダー内のファイルを全部削除して問題は発生していません

削除できないものは無理にやらないほうがいいです
当方にもありました
インターネット一時ファイルとは別です

紹介したリンク先の情報によるとレジストリとかiniファイルをどうにかするようなこと書いてあったと思いますが、今手持ちのセキュリティソフトが何かわかりませんが、それでは対応しなかったんですね。

やばいサイトへのアクセスによって、危険なことがあるとか。アクセスしただけでやばいそうです。
スパイボットを入れて「免疫」をやれば、やばいサイトへの接続を制限しますが。
http://www.higaitaisaku.com/spybot2.html
そのサイトの掲示板に似た症例があれば何か役に立つかも。
そこで質問もできます。

マイクロソフトで気に入ったものを
http://www.microsoft.com/japan/athome/security/s …

日ごろからデータの保存をしておくとリカバリはそんなに重労働ではないですよ。リカバリする際にシステムの復元を無効にするとDのほうに余分なものが残りません。

この回答へのお礼

再度のご回答ありがとうございます。
ご回答のおかげでためらうことなくtempフォルダ内を
削除することができました。

ただ、セーフモード、tempフォルダ、セーフモード時スキャン＆駆除などさまざま試したのですが、憎らしいことに復活するばかりでした。

しかし、ご指摘の「リカバリ」「システムの復元」を参考に、システムを復元してみようとすると、偶然にもルートキット感染直前に復元ポイントを作成しており、システムの復元を実行すると・・・治りました！！今のところ出てきていません。(復元ポイント～現在に作成した文書は別で保存しておきました。)

おかげさまでなんとか元通り使用できそうです。
大変ご迷惑をおかけいたしました。

ただ、感染前に戻りましたが、ルートキットが潜伏していたりしないでしょうか・・・？そこが気になります・・・ヘンなサイトにはアクセスしないように今後は注意するものの、いまいち不安です・・・

お礼日時：2006/11/21 16:38

No.3 回答者： FMVNB50GJ 回答日時： 2006/11/19 20:21

P2Pソフトをやっているならやめることです。

ルートキット対策として、ブラックライトを入れています。
http://www.f-secure.com/blacklight/

何時間も悩むならリカバリが最適です。

駆除する前に、システムの復元を無効にしてから駆除
ファイル名を実行　%temp%を入力　tempフォルダー内のファイルを削除(できるものだけ)

基本的に、どんなものが入ったのか検出し、どのように対応したらいいかを検出された名称でそれを検出したソフトのサイトで検索
たとえば
http://www.shareedge.com/spywareguide/product_sh …
http://www.mcafee.com/japan/security/virF2005.as …

リカバリをした場合、ネットにつなぐ前に最低でもファイアーウォールソフト・ウイルス対策ソフトが前提

windows XP SP2ですか。

この回答へのお礼

ご回答ありがとうございます。

P2Pはやっていません。ただ、最近Ｈなjpeg画像をダウンロードしたことはあります(恥)
そのアクセス＆ダウンロードを境として発生しているので、おそらくサイトへのアクセスか、ダウンロード行為が原因かと思っているのですが・・・

リカバリはできれば避けたいと思っています。
また、ご指摘のようにwindows XP SP2を使用しています。

tempフォルダ内のファイルは全部消去してしまっても不具合は起きないのでしょうか？(どういうファイルが入るフォルダなのでしょう・・・tempということは一時的なもの・・・？temporary internet fileフォルダとはまったく別？)

質問返しになってしまい申し訳ありません。
知識のなさにただただ恥ずかしいばかりです。

お礼日時：2006/11/20 00:01

No.2 回答者： plooki 回答日時： 2006/11/19 14:49

rootkitとは→(

http://e-words.jp/w/rootkit.html)。
ソ○ーの音楽CDに意図的に入っていて以前問題になりました(たしか本体を無理矢理削除するとCDドライブが壊れたような)。
ちなみにrootkit対策ツールは下記のページに山の様にあります→http://www.google.com/search?hl=ja&ie=Shift_JIS& …
セーフモードならメモリ上のマルウェアも見つけやすいかもしれません。

この回答へのお礼

再度のご回答ありがとうございます。
サイト紹介もいろいろ載っていて助かります。
ただ、日本語ツールってないのでしょうかね？
どれをどのように使っていいのやら・・・

２つ試しましたが、１つはどう考えても必要なファイルを数百個検出し、もう１つはゼロ・・・なかなか難しいものですね～。

それでも地道にやっていけば何とかなりそうです。
この度はご回答ありがとうございました。

お礼日時：2006/11/19 18:09

No.1 回答者： plooki 回答日時： 2006/11/19 13:50

セーフモードでSpybotやAd-Aware SEをかけてみてください(詳しくは下記のサイトにて)。

HijackThisも有効かもしれません。
因みにRootKit関連だけでかなりの数のツールがあります。良かったら試してみてください

参考URL：http://www.higaitaisaku.com/

この回答へのお礼

早速のご回答ありがとうございます。

セーフモードで検索をかけるのですね。
まったく知りませんでしたので実行してみます。
参考サイトのご紹介もありがとうございます。

また、RootKitはかなり亜種(?)があるようですが、
具体的にどのような被害の危険性があるのでしょうか？

感染してから、ネット銀行を使うことはやめていますが、
ウェブメールでのパスワード入力を何度かしてしまっており、
とても心配になっております。

この度はご回答ありがとうございました。

お礼日時：2006/11/19 14:13