ntsys.exeがCPU使用率の80%近くを占めてしまっています。助けてください！

先日自宅PC（Win2000 5.00.2195 ServicePack4）
にウィルス名「IRC Trojan」を発見しました。
SymantecAntiVirusで検疫に以下のファイルを
移動しました。
C:\WINNT\system32\ias\dat\config.bak
\config.ini
\language.ini

その後やたらとPCが遅くなったのでタスクマネージャを
確認したとところ、ntsys.exeというプロセスがCPUの
ほとんどを閉めてしまっている事がわかりました。
（全てのアプリケーションを起動していない状態です。）

ネットでいろいろ検索してみたのですが、なにも見つけられずに困っています。

※似た現象を引き起こすWindowsUpdateのMS04-011
（KB835732)もインストールされてません
（ん？それはそれで問題なのか？）

ntsys.exeをPC上で探してみたところ
C:\WINNT\system32\ias\XDCCD\ntsys.exe
というファイルが存在し、レジストリ上には

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYS\0000\
ないのServiceおよびControlフォルダに
種別REG_SZとしてntsysがみつかりました。

週末にどうしてもPCを使って仕事がしたいのでどなたかお詳しい方、助け舟をお願いいたします。

No.6 ベストアンサー 回答者： thanks39 回答日時： 2005/08/22 00:40

確かにバックドアタイプのものは、ファイルを仕掛ける(作る)方には反応することがありますが、作られたファイル自体はウィルスとして反応しないことがあります。

クリーンインストールが安全ですが、無理な場合、サービス２つを無効にして、怪しいファイル(サービスのものと、iasフォルダ以下のものと、他にもあったらそのファイル)と、レジストリ上のものを全て削除して、様子を見られても良いと思います。(レジストリの本来不要なをものを全て見つけるのは難しいと思いますが、レジストリだけ残っていても特に問題ないと思います。)それから、Windwosで使うのはsvchost.exeですが、s"y"chost.exeではありません。それと、2000はどうか分かりませんが、iasフォルダ自体は、XPにもOSインストール時に存在します。(中身はias.mdbとdnary.mdbの２ファイルです。)
また、ウィルスではなくワームである可能性もあります。どちらにしろ、オンラインスキャンでも良いですので、時間があれば色々な所でスキャンしてみると見つかるかもしれませんが、見つけるよりOSのクリーンインストールの方が早いかもしれません。削除を選ばれるならファイアーウォール対策はしかっりされた方が良いでしょう。(Symantec AntiVirus CorporateEditionには、外部からの不正アクセスを防ぐ機能は付いているようなので、ご自身側からの許可していないアクセス(送信)を防ぐ対策をしてください。)
結論になっていないようなので、まとめさせて頂きますが、やはりクリーンインストールが良いです。ですが自分の場合は削除で一旦様子を見ます。クリーンインストールは大事なデータがある場合など、できればしたくないものです。それでもクリーンインストールをおすすめするのは、削除するにしても簡単なものではないと思いますし、この先不具合が出ないとは限りません。また、不具合が出たときの対処など、周りの力をお借りしてでも良いですが、対応できる自信が無い場合、やはりクリーンインストールが良いのではないかと思われるからです。これはご自身の能力や、PCをどのような環境で使われているかでも変わってくると思いますので、無責任と思われるかもしれませんが、最終的な判断はご自身でなされてください。もちろん削除を選ばれる場合でも、その課程や、この先不具合が出たときなど、私ができる範囲であれば協力させて頂きます。

この回答へのお礼

回答ありがとうございます。
クリーンインストールを行うかどうかはしばらく検討してみます。ただ仕事でも使うPCであることからネット越しにファイルを盗られてしまう危険はできるだけ回避したいと考えています。（一応サイゲートのFireWallアプリは入れてあったのですが…）
プライベートファイルも盗られたら恥ずかしいですし…
（見られて困るものは有りませんが…笑）

とりあえずNTSYSを圧縮してCPUの張りつきは収まったのでゆっくり検討したいとおもいます。
本当にありがとうございました！

お礼日時：2005/08/22 13:34

No.5 回答者： thanks39 回答日時： 2005/08/21 07:11

すみません、補足です。

寝ボケて頭が回りにくいことから書き忘れましたが、ntsysがレジストリのスタートアップにないことから、多分デバイスマネージャのプロセスには、SYSTEMで起動しているかもしれません。その場合、ntsysは何処に、PC起動時に起動するように登録されてあるの？ということになりますが、サービスにあるかもしれません。スタート→設定→管理ツール→サービスです。名前＆説明が怪しいものを、右クリックしてプロパティを開けば、実行ファイルのパスの中にC:\WINNT\system32\ias\XDCCD\ntsys.exeのものがあるかもしれません。ウィルスだった場合、最終的にはファイルの削除と、サービスのプロパティでスタートアップの種類を無効にする必要があります。ウィルスかどうか、PCの稼働に必要ないか調べるだけなら、一時的にどちらかを無効(ファイルntsysを圧縮か、ntsysのサービスのスタートアップを無効)にするだけで構いません。

この回答への補足

ご返答ありがとうございます！
急な仕事が早朝から入り、今帰ってきました。
折角対応していただきながらご連絡できずもうしわけありませんでした。

とりあえずセーフモードで立ち上げタスクマネージャで確認したところntsys.exeは起動されていなかったのでファイルを圧縮して通常起動してみたところCPUの張りつきはなくなりました。
今確認してみたのですが、サービスに登録してある怪しいものは
NT System Information Tracker
　実行パス　C:\WINNT\system32\ias\xdccd\sychost.exe
System Manager Service
実行パス　C:\WINNT\system32\ias\sychost.exe
があります。（iasフォルダに関連するものはこれだけです。）

またiasの直下に
kill.bat
kill.exe
xdccoff.bat
xdccoff2.bat
XDCCON.BAT
xdccon2.bat
という怪しいファイルが存在します。
上記ファイルをSymantecAntiVirusで調べてみてもウィルスとしての検知はありませんでした。

トロイはバックドアタイプのものがあるとの事なのでやはりクリーンインストールするしかないのでしょうか？

宜しくお願いいたします。

補足日時：2005/08/21 15:20

No.4 回答者： thanks39 回答日時： 2005/08/21 06:46

ノートン(Norton)＝シマンテック(Symantec)と思ってください。

シマンテックの会社の製品がノートン～であって、主に個人・小規模企業の製品がノートン～で、企業製品はシマンテック～になっているだけだと思いますので、まずシマンテック製品であるかどうかを調べてください。

それからセーフモードや、クリーンブート(通常起動ですがスタートアッププログラムやサービス、デバイスなどを必要最低限しか読み込まない起動の仕方)でPCを起動したとき、ntsys.exeが起動しない場合、圧縮しても大丈夫だと思います。セーフモードで起動するにはPC起動時F8です。クリーンブートは2000の場合、レジストリやサービスをいちいち変更しなければならなくて、面倒だと思いますので、セーフモードで確認するだけで良いと思います。

亜種はいっぱいあります。世界的に探せば同じものもあるかと思いますが、パス(場所)が違うことは良くあることですし、システム(Windows)が使っていると見せかけたり、システムフォルダにあるのは常習手段です。タスクマネージャのプロセスで、どのユーザーがntsys.exeを起動しているか分かりますか？自分のユーザー名でしたら、ますます怪しいです。(それ以外でもウィルスの可能性が拭えるわけではありません。)

No.3 回答者： thanks39 回答日時： 2005/08/21 04:27

＞ntsys.exeのプロセスを終了する試みは質問させていただく前にやってみたのですが、「操作を完了できませんでした。

＞アクセスが拒否されました。」とのメッセージが出力され終了することができませんでした。

これがノートンであった場合、ノートンの設定でシマンテック製品を保護するにチェックが入っていれば、同じ表示が出ます。ノートンの設定を確認して、チェックが入っていれば外して、もう一度ノートンか確認して頂けますか？(ネットワーク接続は必ず外してください。)

それからでも、ntsys.exeそのものを移動してから圧縮は遅くはありません。

トレンドマイクロにもntsys.exeの場所は違いますが、情報はありました。駆除方法も一応載ってますが、状況が違うかと思われます。もう少し探してみます。http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答への補足

こんな夜更けに…ってもう早朝ですが。。。本当にありがとうございます！
まずノートンであるか？の答えですが、「SymantecAntiVirusCorporateEdition≠Norton」であればノートンはインストールされていません。（アプリケーションの追加と削除を確認しましたが、エントリーがありませんでした。）

またご指摘のURLですが、微妙に名称が似ているので私も気になっていたのですが（XDCC.Aとありますが私のPC上はC:\WINNT\system32\ias\XDCCD\にntsys.exeがあります。）亜種なんでしょうか。。。ちなみにそのぺーじにあったADOBEA.EXEはレジストリ上に存在しませんでした。
ご指摘のURLをみるとXDCCAはsystem32の直下にntsys.exeを「作成」していると読めるのですが、その場合やはりntsys.exeを削除（圧縮）してみるのが近道なのかも知れないですね…　名称がシステムが使ってそうな名前なのでちょっと怖いですが。。。

よろしくお願いいたします。

補足日時：2005/08/21 05:21

No.2 回答者： thanks39 回答日時： 2005/08/21 02:46

トロイの木馬のようですが…。

レジストリ項目、及び本体ファイルを削除、もしくは圧縮して無効にされるのが宜しいと思います。
http://www.ahnlab.co.jp/troyinfo/tro_search_deta …

レジストリのスタートアップ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
にも登録されてないか確認してください。

この回答への補足

ご返答ありがとうございます！

申し訳ありませんが、もう少し詳しく教えていただけないでしょうか…m(_ _)m

まず、ご指摘のページに飛んでみたのですが詳細情報等の取得方法がわかりません。どうすれば駆除方法が見つかるのでしょうか…うぅ
また上記のレジストリに関して確認してみたのですが、ntsysに関する登録は無いようです。これも本来はもっと別の登録を追う必要があるのでしょうか？

ちなみにご指摘にある「レジストリ項目、及び本体ファイルを削除、もしくは圧縮」というのはntsys.exeそのものを圧縮してみては？という意味合いでよろしいでしょうか？Symantecのトロイのページを確認したのですが、ntsysに関する記載が見つからなかったので…（SymantecのHP上で検索をしてみたのですがHITなしでした。。。）

ほんと申し訳ありません…

補足日時：2005/08/21 03:37

No.1 回答者： asfdgdf 回答日時： 2005/08/21 02:32

ntsys.exeというのはノートンですよね??

ノートンでウイルスチェックをして安全だったら
インターネットに接続していない状態でタスクマネージャーでntsys.exeを終了させてみてください。
それで少しはよくなるのでは??

違ったウイルスソフトを使うことを勧めます。

またウイルスチェック時にはCPUを使うので、
それなのでは？

この回答への補足

返答ありがとうございます。
ウィルスソフトは会社単位でSymantecAntiVirusCorporateEdition8.00.9374に指定されており（これって　「＝ノートン」なのでしょうか？）
これを使うことは必須なんです。（泣）

また、ネットワーク接続をはずしてタスクマネージャよりntsys.exeのプロセスを終了する試みは質問させていただく前にやってみたのですが、「操作を完了できませんでした。アクセスが拒否されました。」とのメッセージが出力され終了することができませんでした。（もちろんAdministratorでLoginしています。）

他になにか手立てはありますでしょうか？
宜しくお願いいたします。

補足日時：2005/08/21 02:49