トロイでしょうか？よくわからないプログラム

普通にネットサーフィンしていると、サイトが重いわけでもないのに急にCPU使用率が高く(50%ぐらい)なったのでタスクマネージャでプロセスを見てみると、rlvknlg.exeというプログラムがCPUの40%ほどを使用していました。調べた結果、アドウェアとかスパイウェアのようなものみたいでした。C:\WINDOWS\system32にこのプログラムがあるのですが、そのままファイルを削除すれば良いでしょうか？C:\WINDOWS\Prefetchというフォルダにも拡張子がpfのファイルがあるのですが、どうすればいいかわかりません。
どなたか教えてください。

WindowsXP SP2 Home Editionで、　ウイルスバスター2005を入れています(リアルタイム検索も実行中)。

No.6 ベストアンサー 回答者： doki2 回答日時： 2005/12/22 15:34

「HijackThis」のログに何も表示されないのであればウイルスバスターが駆除してくれたのではないかと思います。

特に不審な動作がないようであれば問題ないと思います。

★お尋ねのレジストリキーの件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion　

のサブキーに　｛e88db089-ec39-485c-86c0-984f216adb7c｝というのがあり

レジストリエディターの画面右側に下記のように表示されているのだと思います。

名前　　　　　　 種類　　　　　データ　

(既定)　
DisplayName REG_SZ RelevantKnowledge
UninistallString REG_SZ c:\windows\system32\rlvknlg.exe-bootremove-uninst:RelevanKnowledge

これはアンインストール情報というものでスパイウエアのポンカスです。

残っていても、これだけでは動作しませんが邪魔者は消し去ったほうがいいと思います。

レジストリエディターでサブキー｛e88db089-ec39-485c-86c0-984f216adb7c｝を
右クリックして表示されるメニューで「削除」を選択してください。

以下、参考事項です。

★参考1　レジストリの「エキスポート」

レジストリキーを削除/編集には危険が伴います。
万一の場合に備えて、レジストリをバックアップする習慣をつけるのがいいでしょう。

レジストリエディターで削除/編集するキーを右クリックして表示されるメニューで「エキスポート」を選択してください。

★参考２「Registry_Jumper」

レジストリキーの検索には「Registry_Jumper」というツールが非常に便利です。

下記ページ参考にしてください。

http://fine.tok2.com/home/heto2/0501RegJumper/00 …

★参考３　「RegSrch.vbs」

レジストリの検索には下記ツールが非常に便利です。
レジストリエディターのように何度も「F3」キーを押す必要がありません。

下記サイトで「Registry Search Tool」をクリックし、表示される画面の右端のダウンロードボタンをクリックしてください。

「RegSrch.vbs」

http://www.billsway.com/vbspage/

ダウンロードされるファイル「RegSrch.zip」を解凍すると「RegSrch.vbs」というスクリプトファイルが出てきます。

「RegSrch.vbs」をダブルクリックするとファイル名の入力画面になります。

たとえば「Notepad.exe」と入力して「OK」

直ちに検索が始まり、終わるとWordPadの画面が開かれ「Notepad.exe」関連のレジストリ設定が一覧表示されます。

そのまま終了するとデータはすべて消滅しますので必要に応じてファイルに保存してください。

検出結果を拡張子「REG」で保存しておくとレジストリのバックアップにもなります。

この回答へのお礼

毎回わかりやすい説明ありがとうございます。
｛e88db089-ec39-485c-86c0-984f216adb7c｝を
削除をしました。
おかげ様で不安定だったのが改善されました。
本当にありがとうございました。

お礼日時：2005/12/22 20:58

No.5 回答者： doki2 回答日時： 2005/12/21 17:48

下記のウィルスに感染されたのではないかと思います。

Trojan horse IRC/Backdoor.SdBot.MYX
http://forum.tweakxp.com/forum/Topic182782-29-1. …

「HijackThis」を使われることをを勧めします。

☆HijackThisによるレポート出力と手動でのスパイウェア除去
http://www.higaitaisaku.com/hijackthis.html

ただし、使い方がわからずに操作すると重大な支障が発生することがあります。
十分な知識なしに指示されたこと以外の操作をしないように注意してください。

とりあえず以下の作業をやってみてください。

１．「C:\HJT」と言うフォルダを作っておきます。
　以下、このフォルダを「HJT」フォルダと呼ぶことにします。
　
２．下記サイトから「HijackThis」をダウンロードします。
http://www.download.com/HijackThis/3000-8022_4-1 …

３．ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。

４．「HijackThis.exe」を「HJT」フォルダに保存します。
　　以降このフォルダにログファイルやバックアップが保存されるようになります。
　　
５．IEの画面をすべて閉じた後「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック

６．「HijackThis」の画面が開かれシステムをスキャンした結果が一覧表示されます。

７．また「hijackthis.log」と言うファイルが「HJT」フォルダに自動的に保存されます。

「HijackThis」の画面に下記のような行があると思います。

O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [MsMovies] C:\Program Files\MsMovies\MsMovies.exe /auto
O16 - DPF: {CA356D79-679B-4B4C-8E49-5AF97014F4C1} - http://files-pl.starware.com/installs/3.3.0.2005 … tarware_323.cab

８．その行の左端のチェックボックスにチェックを入れ画面下の「Fix checked」をクリック

９．「HijackThis」を終了してパソコンをセーフモードで再起動

参考：Windowsをセーフモードで起動する
http://www.higaitaisaku.com/safemode.html

１０．下記のファイルが残っていればエキスプローラで削除してください。

C:\Program Files\SurfAccuracy
C:\Program Files\Power Scan
C:\Program Files\MsMovies
c:\windows\system32\rlvknlg.exe



１１．パソコンを通常モードで再起動してお使いのウィルス対策ソフトでスキャンしてみてください。

１２．C:\WINDOWS\Prefetchというフォルダについては下記ツールをダウンロードして実行してください

CleanUp!
www.stevengould.org/downloads/cleanup/CleanUp40.exe
直接リンクです。IEのアドレス欄にコピペしてください。

CleanUp!の使い方

　「CleanUp!」を起動して画面右側の「Option」ボタンをクリック
　下記の項目にチェックを入れ「OK」
　
　Empty Recycle Bins
　Delete Cookies
　Delete Prefetch files
　Cleanup! All Users

　画面右側の「Cleanup!」ボタンをクリック
　作業終了後、再起動するかどうかの画面では「いいえ」を選択。

わからない点があれば追加質問してください。

この回答へのお礼

わかりやすい回答をありがとうございます。
報告が遅れてしまったので、今の状況を述べますと、
この回答を見る前に　セーフモードでなく
system32にあるrlvknlg.exeを削除
　　　　　　　↓
Prefetchにあるrlvknlg関係のファイルを削除
　　　　　　　
で、今この状態です。
doki2さんがおっしゃったHijackThisでログを見てみると、指摘された行がひとつも見つかりませんでした(消した後だから？)。
このあとどうすればいいかわかりません。
regeditでrlvknlgを検索すると、HKEY_MACHINE→SOFTWARE→Microsoft→Windows→CurrentVersion→Uninstall→｛e88db089-ec39-485c-86c0-984f216adb7c｝に(既定)と書かれたものの他、
名前　　　　　　 種類　　　　　データ　
DisplayName REG_SZ RelevantKnowledge
UninistallString REG_SZ c:\windows\system32\rlvknlg.exe-bootremove-uninst:RelevanKnowledge

というものが見つかりました。両方削除したほうがいいでしょうか？
あと、同じくHKEY_MACHINE内のRunには、消した後だからでしょうかrlvknlg関係のものがありません。

お礼日時：2005/12/21 19:09

No.4 回答者： rcappuccin 回答日時： 2005/12/21 02:05

PC起動時のセーフモードのキー操作がわからないなら、

下記ページの方法をお試しください！

参考URL：http://www.higaitaisaku.com/safemode.html#XP

No.3 回答者： lonewolf 回答日時： 2005/12/20 21:30

トロイの中でも悪質な Backdoor です。

http://www.shareedge.com/modules/appdb/index.php …

C:\WINDOWS\PrefetchというフォルダはOSやアプリケーションのファイルを先読みして高速化するためのファイルがあるフォルダです。削除してください。

Windowsをセーフモードで起動してください。
rlvknlg.exeを削除。できなければ強削を使って削除してください。
http://www.vector.co.jp/soft/win95/util/se298257 …

スタート→「ファイル名を指定して実行」で「regedit」と入力してレジストリエディタ」を起動します。
HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run
とたどり
画面右側で、"rlvknlg.exe" に関連する値を削除します。
見つからなければ「編集」→「検索」で探してみてください。

この回答への補足

F8でセーフモード起動をしようとしましたが、すべて英語で「Please select boot device:」と表示され、USBだとかDVDRAMだとか書いてあってよくわからないので、とりあえずHDDのようなものを選択したらいつもと同じ感じで起動しました。恐らくセーフモードではないと思います...
とりあえず、LANケーブルを引っこ抜いてタスクマネージャを起動すると、rlvknlg.exeが起動していませんでした。(レジストリだとかファイルを削除していませんが)
それで、LANケーブルを接続してみたらrlvknlg.exeがすぐに起動しました。その後プロセスを終了させて、今の状態に至ります。

補足日時：2005/12/20 22:23

この回答へのお礼

回答ありがとうございます。
セーフモードで起動とのことですが、BTOのパソコンで起動方法がわからないので
．Prefetchフォルダの関係のあるファイルを削除
.rlvknlg.exeを削除直接(タスクマネージャでプロセスを終了後)
.レジストリから関連するものを削除
という手順でよろしいでしょうか？

Ad-Awareでの検索結果、クッキーと履歴？(MRU List)だけしか検出されませんでした

お礼日時：2005/12/20 21:40

No.2 回答者： nnfuji 回答日時： 2005/12/20 21:02

rlvknlg.exeでWebを検索したら、どうやらAdwareまたはスパイウェアのようです。

タスクマネージャでプロセスを殺し、ファイル削除した方が良さそうです。

また、SpybotとAd-aware等でスキャンした方がよいでしょう。

この回答へのお礼

早速ありがとうございます。
今、ウイルスバスターがリアルタイム検索でTROJ UPCHAN.Bというものを検出しました.....
詳細をクリックしたのですが、情報がないみたいで、検索サイトで調べてTROJ UPCHAN.Aなら見つかりました。どうやらデスクトップのスクリーンショットを外部に送信するようでorz
外部に送信されたんでしょうか？
(ちなみにAd-awareで今だスキャン中です)

お礼日時：2005/12/20 21:27

No.1 回答者： namune 回答日時： 2005/12/20 21:01

Ad-Awareをインストールすればスパイウェアを除去できます。

まず、windows標準のアプリケーション削除機能で削除できるかどうかを試して、できない場合、Ad-Awareで削除してください。
>そのままファイルを削除すれば良いでしょうか？
勝手に実行ファイルを削除すると、システムが不具合を引き起こします。

この回答へのお礼

早速ありがとうございます。
Ad-Aware&ウイルスバスターで今スキャン中です...

お礼日時：2005/12/20 21:20