質問はタイトルどおりHaxdoorといウイルスについてです。
最近ウイルスに感染して、ノートンでウイルス検索をかけたところ、いくつかひっかかりました。その中にTrojan.Haxdoorというウイルスがありました。ノートンではこのウィルスも消去されたのですが、まだPCの調子が少しおかしかったので、nospyというサイトでオンラインスキャンをかけたところ、消したはずの上のウイルスが検出されました。危険度も高いため早急に駆除したいのですがどなたか駆除方法教えていただけませんか?
今自分がわかっていることを書きます
windows2000 professional を使用してます。
検出されるファイル Trojan.Haxdoor
C\WINNT\SYSTEM32\qz.dll
C\WINNT\SYSTEM32\qz.sys
このウィルスは自分を隠すタイプ(toolkid?)らしく
上記のフォルダを調べても「qz.dll」「qz.sys」は見つけられませんでした。またレジストリも変更するらしいのです。
別サイトで調べたところ、似たようなウィルス情報があったのですが、このウィルスを駆除するには復元用のCD-ROM?が必要らしいのですが、このPCは友人から譲ってもらったものでそのCD-ROMが手元にない状態なのです。もしこのCD-ROMを使わずに 駆除できる方法がありましたら教えていただきたいのです。
PCはあまり詳しくないので文章に変な個所があるかもしれませんが、どなたか回答お願いします。
No.3
- 回答日時:
とりあえず Haxdoor のどの亜種なのかによって対応が微妙に異なります。
以下のサイトの掲示板に移動して、HijackThis のログほかを提示したほうが
駆除作業はスムーズに進むと思うので、サイトの移動をなさることをお勧めします。
http://bbs.higaitaisaku.com/cbbs.cgi
Windows の CD-ROM を使わないで駆除できるかどうかは亜種によります。
最近出てきた新種ほど、ルートキットの隠蔽機能が巧妙なので難しくなります。
ちなみに、その qz.dll とか qz.sys は Haxdoor が内部で作成するオリジナル感染ファイルの
バックアップコピーであって、それをいくら削除しても解決しません。
Norton の手動スキャンでは検出できない「本体」のほうをたたく必要があります。
それから、ルートキットのせいでシステムが不安定になってブルースクリーンエラーを引き起こすことがあります。
これで起動不能になる可能性もあるので、「起動しているうちに」、「速やかに」データのバックアップを取ってください。
直すにしろクリーンインストールするにしろこれは必須だと思います。
・最近の亜種↓
http://www.symantec.com/region/jp/avcenter/venc/ …
http://www.symantec.com/region/jp/avcenter/venc/ …
ご返答ありがとうございます
オンラインスキャンした結果がTrojan.Haxdoor.rootkid
と出て、それを展開するとqz.dllとqz.sysとでるだけなのでどの亜種なのかは私もはっきりわからないのです。
ご指摘いただいたデータのバックアップはここに質問を書く少し前に取りました。
あと記載していただいたサイトに行って質問してみようと思います。回答して頂いて本当にありがとうございました。
No.2ベストアンサー
- 回答日時:
1.オンラインスキャンの結果について
>nospyというサイトでオンラインスキャンをかけた
http://www.nospy.jp/ のことですね。
おそらく、下記のウィルスが検出されたのではないかともいます。
Trojan.Haxdoor.Rootkit
http://www3.ca.com/securityadvisor/pest/pest.asp …
2.ファイルがみつからない
下記ファイルが見つからないということですが、これは、ノートンが削除した可能性があります。
C\WINNT\SYSTEM32\qz.dll
C\WINNT\SYSTEM32\qz.sys
3.駆除したはずのウィルスが・・・
ノートンで駆除した後、他のソフトでスキャンすると同じウィルスが見つかることがあります。
ノートンでHaxdoorを検索すると30以上あり、どれに該当するのかがわかりませんので正確に把握できませんが、多分、ノートンで駆除した以外のファイルやレジストリ設定がいくつか見つかったのではないかと思います。
**********************************
以下、危険な作業になりますので、万一の場合に備えて、事前に重要なデータとレジストリのバックアップを取っておいてください。
参考:レジストリのバックアップ方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …
**********************************
4.レジストリの削除
下記のデータをコピペしてバッチファイルを作成し「C」ドライブのルートディレクトリーに「fixHaxd1.bat」という名前で保存してください。
~~~~~~~ fixHaxd1.bat この下の行から ~~~~~~~
:fixHaxd1.bat
if exist c:\fixHaxdoor.reg del c:\fixHaxdoor.reg
echo REGEDIT4 > c:\fixHaxdoor.reg
echo.
echo [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\skyx16] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\skyx16.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\skyx24.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\network\skyx16.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\network\skyx24.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_skyx24] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\skyx16] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\skyx24] >> c:\fixHaxdoor.reg
regedit /s c:\fixHaxdoor.reg
~~~~~~~ fixHaxd1.bat この上の行まで ~~~~~~~
「fixHaxd1.bat」をダブルクリックして実行し、不正なレジストリ設定を削除してください。
5.パソコンの再起動
プロセスやサービスで実行中のファイルがあるとファイルを削除できませんので、一旦パソコンを再起動してプロセスやサービスでの実行を停止しておきます。
6.ファイルの削除
下記のデータをコピペしてバッチファイルを作成し、「C」ドライブのルートディレクトリーに「fixHaxd2.bat」という名前で保存してください。
~~~~~~~ fixHaxd2.bat この下の行から ~~~~~~~
:c:\fixHaxd2.bat
:c:\fixHaxd2.bat
del %system%\skyx16.dll
del %system%\qz.dll
del %system%\knotn.dat
del %system%\mst.bin
del %system%\ps.a3d
del %system%\skyx16.dll
del %system%\skyx24.sys
del %system%\qz.sys
if exist c:\errHaxd2.txt del c:\errHaxd2.txt
echo errHaxd2.txt > c:\errHaxd2.txt
echo. >> c:\errHaxd2.txt
if exist %system%\skyx16.dll echo %system%\skyx16.dll が削除できません。 >> c:\errHaxd2.txt
if exist %system%\qz.dll echo %system%qz.dll が削除できません。 >> c:\errHaxd2.txt
if exist %system%\knotn.dat echo %system%\knotn.dat が削除できません。 >> c:\errHaxd2.txt
if exist %system%\mst.bin echo %system%\mst.bin が削除できません。 >> c:\errHaxd2.txt
if exist %system%\ps.a3d echo %system%\ps.a3d が削除できません。 >> c:\errHaxd2.txt
if exist %system%\skyx16.dll echo %system%\skyx16.dll が削除できません。 >> c:\errHaxd2.txt
if exist %system%\skyx24.sys echo %system%\skyx24.sys が削除できません。 >> c:\errHaxd2.txt
if exist %system%\qz.sys echo %system%\qz.sys が削除できません。 >> c:\errHaxd2.txt
echo errHaxd2.txt以外、何も表示されない場合、メモ帳を終了してください。 >> c:\errHaxd2.txt
echo. >> c:\errHaxd2.txt
echo コマンドプロンプトの画面も自動的に閉じられます。 >> c:\errHaxd2.txt
notepad c:\errHaxd2.txt
~~~~~~~ fixHaxd2.bat この上の行まで ~~~~~~~
「fixHaxd2.bat」をダブルクリックして実行し、不正なファイルを削除してください。
もし、削除できないファイルがあれば、バッチ実行後、表示されるerrHaxd2.txtに表示されますので、コピーして補足/お礼欄に貼り付けてください。
7.駆除の確認
nospyでオンラインスキャンをかけて問題のウィルスが駆除されているのを確認してください。
8.復元用のCD-ROM
>このウィルスを駆除するには復元用のCD-ROM?が必要らしい
多分、回復コンソールの起動に必要なだけではないでしょうか。
しかし、こういう使い方は著作権の侵害になりますので、改善するようにしてください。
9.「Rootkit」について
なぜ、このウィルスが「Rootkit」扱いされているのか、私にはわかりません。
この回答への補足
ご返答ありがとうございます
>http://www.nospy.jp/ のことですね。
おそらく、下記のウィルスが検出されたのではないかともいます。
Trojan.Haxdoor.Rootkit
はい、その通りです。このサイトに行き、このウィルスが検出されました
レジストリの削除についてですが、記載していただいた通り作業を行ったところ、最後のメモ帳にはerrHaxd2.txt以外は表示されませんでした。その後、nospyで再度スキャンしたところ、ウィルスは何も検出されませんでした。念のため、ノートンとトレンドマイクロオンラインスキャンもかけましたが何も検出されませんでした。これで完全に駆除できたと思います。本当にありがとうございました
ただ、不具合がまだ少し残っています。インターネットの接続が不安定なのです。この症状がでてきたのがウィルスに感染してからなのでウィルスのせいだと思っていましたが、関係ないエラーなのかもしれません。
本当にあつかましくて申し訳ないのですが、もしdoki2さんがご存知であれば教えていただきたいのです。
インターネット接続時、時々(主にページを表示しようとするときに)「問題が発生したためInternetExplorerを終了します」と出るのです。そこの詳細をクリックすると下の文字が表示されます。
App Ver:6.0.2800.1106 Mod Name:ntdll.dll
Mod Ver:5.0.2195.7006 offset:0004aff8
ntdll.dllで検索をしてみましたが、どうもwindows/NT系
にあるntdll.dllの脆弱性が原因というらしいのですが、PCに詳しくない私にはさっぱりわかりません。一応MicrosoftのUpdate、わかる範囲では修正パッチをあててみましたが直りませんでした。お手数でなければ回答をお願いいたします。
No.1
- 回答日時:
>フォルダを調べても「qz.dll」「qz.sys」は見つけられませんでした
>自分を隠すタイプ
「コンパネ」「フォルダオプション」「表示」「すべてのファイルとフォルダを表示する」にチェックをつける。
「隠しフォルダを表示しない」のチェックをはずす。はしていますか?(後で戻す)
この回答への補足
返信ありがとうございます
>「すべてのファイルとフォルダを表示する」にチェックをつける。
「隠しフォルダを表示しない」のチェックをはずす。はしていますか?
はい、ご指摘の個所は問題ありません。「すべてのファイルとフォルダを表示する」→チェックはついています
「隠しフォルダを表示しない」→チェックは外れています
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- マルウェア・コンピュータウイルス 普段使いのスマホとデータのないノートPC ノートン入れるならどっち? 5 2023/08/28 15:12
- iPad iPadのウィルス対策について。 Safari経由でネット検索していたら画面右下に ハードドライブに 4 2023/02/26 07:23
- マルウェア・コンピュータウイルス パソコンにウイルスが感染してしまいました 6 2022/08/08 20:22
- マルウェア・コンピュータウイルス ノートン360プレミアム付属のウイルス診断・駆除サービスプラスの窓口がわからない 2 2023/03/12 16:15
- セキュリティソフト スマホ アンドロイド端末の無料ウィルス対策ソフト 1 2023/05/18 15:44
- マルウェア・コンピュータウイルス 「マカフィー」「ノートン」「無名の会社」のウイルスソフト会社が ポップアップで 4 2023/01/24 05:27
- YouTube SMS認証が出来なくて乗っ取られたアカウントを取り戻せません。 2 2023/04/02 15:29
- USBメモリー・SDカード・フラッシュメモリー SDカード内データにウイルスが入った場合‥ スマホのmicroSDカード内のデータにウイルスが入った 7 2023/06/30 11:06
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- マルウェア・コンピュータウイルス macbookを使用しているのですが、人から貰ったファイルやフォルダにウイルスが含まれていないか、開 2 2022/09/24 12:17
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
windows10 windows10 ファイル...
-
Spybpt(無料スパイウェア対策...
-
トロイの木馬を削除後、PC起動...
-
McAfee マカフィー ウィルスス...
-
パソコンから勝手に知らない音...
-
ファイルを削除しようとしたら ...
-
マカフィーで必要なファイルが...
-
パソコンのプロセスの重複起動...
-
私のPCが覗かれているか調べる方法
-
まじで助けてください 凄い恥ず...
-
Trojan:Script/Wacatac.H!ml っ...
-
ハードディスクの問題が検出さ...
-
Everything というフリーソフト...
-
コマンドプロンプトでのBATファ...
-
至急お願いします。 僕はノート...
-
パソコンのデスクトップ画面に...
-
トロイの木馬に感染しました!
-
こんなウインドウが出てきます
-
最近パソコンの動きが重くて遅...
-
zipファイル自体がウイルスでダ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
umuStationの削除
-
亜種 トロイの木馬の削除について
-
トロイの木馬型ウィルスが何度...
-
regeditの中味を全て知...
-
ESETで見つかったメモリ上のウ...
-
Tempフォルダにtemp~~~.tmpとい...
-
winsysについて
-
トロイの木馬を削除後、PC起動...
-
トロイの木馬に感染しました。A...
-
デスクトップに張り付いている...
-
exeファイルが実行できない
-
トロイウィルス感染
-
意味不明のツールバーが出現し...
-
Puper.dll削除方法
-
かってにIEのウインドウが一...
-
RUNDLL エラー
-
iPhoneでアダルトサイトを見て...
-
Everything というフリーソフト...
-
Trojan:Script/Wacatac.H!ml っ...
-
McAfee マカフィー ウィルスス...
おすすめ情報