Trojan.Haxdoorというウイルスについて

質問はタイトルどおりHaxdoorといウイルスについてです。
　
　最近ウイルスに感染して、ノートンでウイルス検索をかけたところ、いくつかひっかかりました。その中にTrojan.Haxdoorというウイルスがありました。ノートンではこのウィルスも消去されたのですが、まだPCの調子が少しおかしかったので、nospyというサイトでオンラインスキャンをかけたところ、消したはずの上のウイルスが検出されました。危険度も高いため早急に駆除したいのですがどなたか駆除方法教えていただけませんか？
　
　今自分がわかっていることを書きます
windows2000　professional　を使用してます。
検出されるファイル　Trojan.Haxdoor
　　　　　　　　　C\WINNT\SYSTEM32\qz.dll
　 C\WINNT\SYSTEM32\qz.sys
このウィルスは自分を隠すタイプ（toolkid？）らしく
　上記のフォルダを調べても「qz.dll」「qz.sys」は見つけられませんでした。またレジストリも変更するらしいのです。
　別サイトで調べたところ、似たようなウィルス情報があったのですが、このウィルスを駆除するには復元用のCD-ROM？が必要らしいのですが、このPCは友人から譲ってもらったものでそのCD-ROMが手元にない状態なのです。もしこのCD-ROMを使わずに 駆除できる方法がありましたら教えていただきたいのです。
　PCはあまり詳しくないので文章に変な個所があるかもしれませんが、どなたか回答お願いします。

No.3 回答者： Xing 回答日時： 2006/08/16 16:20

とりあえず Haxdoor のどの亜種なのかによって対応が微妙に異なります。

以下のサイトの掲示板に移動して、HijackThis のログほかを提示したほうが
駆除作業はスムーズに進むと思うので、サイトの移動をなさることをお勧めします。
http://bbs.higaitaisaku.com/cbbs.cgi

Windows の CD-ROM を使わないで駆除できるかどうかは亜種によります。
最近出てきた新種ほど、ルートキットの隠蔽機能が巧妙なので難しくなります。

ちなみに、その qz.dll とか qz.sys は Haxdoor が内部で作成するオリジナル感染ファイルの
バックアップコピーであって、それをいくら削除しても解決しません。
Norton の手動スキャンでは検出できない「本体」のほうをたたく必要があります。

それから、ルートキットのせいでシステムが不安定になってブルースクリーンエラーを引き起こすことがあります。
これで起動不能になる可能性もあるので、「起動しているうちに」、「速やかに」データのバックアップを取ってください。
直すにしろクリーンインストールするにしろこれは必須だと思います。


・最近の亜種↓
http://www.symantec.com/region/jp/avcenter/venc/ …
http://www.symantec.com/region/jp/avcenter/venc/ …

この回答へのお礼

　　　　　ご返答ありがとうございます
　オンラインスキャンした結果がTrojan.Haxdoor.rootkid
と出て、それを展開するとqz.dllとqz.sysとでるだけなのでどの亜種なのかは私もはっきりわからないのです。
　ご指摘いただいたデータのバックアップはここに質問を書く少し前に取りました。
　あと記載していただいたサイトに行って質問してみようと思います。回答して頂いて本当にありがとうございました。

お礼日時：2006/08/16 22:26

No.2 ベストアンサー 回答者： doki2 回答日時： 2006/08/16 15:29

１．オンラインスキャンの結果について

　>nospyというサイトでオンラインスキャンをかけた

　http://www.nospy.jp/ のことですね。

　おそらく、下記のウィルスが検出されたのではないかともいます。

　Trojan.Haxdoor.Rootkit
　http://www3.ca.com/securityadvisor/pest/pest.asp …

２．ファイルがみつからない

　下記ファイルが見つからないということですが、これは、ノートンが削除した可能性があります。

　C\WINNT\SYSTEM32\qz.dll
　C\WINNT\SYSTEM32\qz.sys

３．駆除したはずのウィルスが・・・

　ノートンで駆除した後、他のソフトでスキャンすると同じウィルスが見つかることがあります。

　ノートンでHaxdoorを検索すると３０以上あり、どれに該当するのかがわかりませんので正確に把握できませんが、多分、ノートンで駆除した以外のファイルやレジストリ設定がいくつか見つかったのではないかと思います。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

以下、危険な作業になりますので、万一の場合に備えて、事前に重要なデータとレジストリのバックアップを取っておいてください。

　参考：レジストリのバックアップ方法
　http://service1.symantec.com/SUPPORT/INTER/tsgen …

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

４．レジストリの削除

　下記のデータをコピペしてバッチファイルを作成し「C」ドライブのルートディレクトリーに「fixHaxd1.bat」という名前で保存してください。

～～～～～～～　fixHaxd1.bat　この下の行から　～～～～～～～
:fixHaxd1.bat

if exist c:\fixHaxdoor.reg del c:\fixHaxdoor.reg

echo REGEDIT4 > c:\fixHaxdoor.reg
echo.
echo [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\skyx16] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\skyx16.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\skyx24.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\network\skyx16.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\network\skyx24.sys] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_skyx24] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\skyx16] >> c:\fixHaxdoor.reg
echo [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\skyx24] >> c:\fixHaxdoor.reg

regedit /s c:\fixHaxdoor.reg
～～～～～～～　fixHaxd1.bat　この上の行まで　～～～～～～～

　「fixHaxd1.bat」をダブルクリックして実行し、不正なレジストリ設定を削除してください。

５．パソコンの再起動

　プロセスやサービスで実行中のファイルがあるとファイルを削除できませんので、一旦パソコンを再起動してプロセスやサービスでの実行を停止しておきます。

６．ファイルの削除

　下記のデータをコピペしてバッチファイルを作成し、「C」ドライブのルートディレクトリーに「fixHaxd2.bat」という名前で保存してください。

～～～～～～～　fixHaxd2.bat　この下の行から　～～～～～～～
:c:\fixHaxd2.bat

:c:\fixHaxd2.bat

del %system%\skyx16.dll
del %system%\qz.dll
del %system%\knotn.dat
del %system%\mst.bin
del %system%\ps.a3d
del %system%\skyx16.dll
del %system%\skyx24.sys
del %system%\qz.sys

if exist c:\errHaxd2.txt del c:\errHaxd2.txt

echo errHaxd2.txt > c:\errHaxd2.txt
echo. >> c:\errHaxd2.txt
if exist %system%\skyx16.dll echo %system%\skyx16.dll が削除できません。　>> c:\errHaxd2.txt
if exist %system%\qz.dll echo %system%qz.dll が削除できません。　>> c:\errHaxd2.txt
if exist %system%\knotn.dat echo %system%\knotn.dat が削除できません。　>> c:\errHaxd2.txt
if exist %system%\mst.bin echo %system%\mst.bin が削除できません。　>> c:\errHaxd2.txt
if exist %system%\ps.a3d echo %system%\ps.a3d が削除できません。　>> c:\errHaxd2.txt
if exist %system%\skyx16.dll echo %system%\skyx16.dll が削除できません。　>> c:\errHaxd2.txt
if exist %system%\skyx24.sys echo %system%\skyx24.sys が削除できません。　>> c:\errHaxd2.txt
if exist %system%\qz.sys echo %system%\qz.sys が削除できません。　>> c:\errHaxd2.txt

echo errHaxd2.txt以外、何も表示されない場合、メモ帳を終了してください。　>> c:\errHaxd2.txt
echo. >> c:\errHaxd2.txt
echo コマンドプロンプトの画面も自動的に閉じられます。　>> c:\errHaxd2.txt

notepad c:\errHaxd2.txt
～～～～～～～　fixHaxd2.bat　この上の行まで　～～～～～～～

　「fixHaxd2.bat」をダブルクリックして実行し、不正なファイルを削除してください。

　もし、削除できないファイルがあれば、バッチ実行後、表示されるerrHaxd2.txtに表示されますので、コピーして補足/お礼欄に貼り付けてください。

７．駆除の確認

　nospyでオンラインスキャンをかけて問題のウィルスが駆除されているのを確認してください。

８．復元用のCD-ROM

>このウィルスを駆除するには復元用のCD-ROM？が必要らしい

　多分、回復コンソールの起動に必要なだけではないでしょうか。

　しかし、こういう使い方は著作権の侵害になりますので、改善するようにしてください。

９．「Rootkit」について

　なぜ、このウィルスが「Rootkit」扱いされているのか、私にはわかりません。

この回答への補足

　　　ご返答ありがとうございます

＞http://www.nospy.jp/ のことですね。
　おそらく、下記のウィルスが検出されたのではないかともいます。
　Trojan.Haxdoor.Rootkit

　はい、その通りです。このサイトに行き、このウィルスが検出されました

　レジストリの削除についてですが、記載していただいた通り作業を行ったところ、最後のメモ帳にはerrHaxd2.txt以外は表示されませんでした。その後、nospyで再度スキャンしたところ、ウィルスは何も検出されませんでした。念のため、ノートンとトレンドマイクロオンラインスキャンもかけましたが何も検出されませんでした。これで完全に駆除できたと思います。本当にありがとうございました

　ただ、不具合がまだ少し残っています。インターネットの接続が不安定なのです。この症状がでてきたのがウィルスに感染してからなのでウィルスのせいだと思っていましたが、関係ないエラーなのかもしれません。
　本当にあつかましくて申し訳ないのですが、もしdoki2さんがご存知であれば教えていただきたいのです。
　
　インターネット接続時、時々（主にページを表示しようとするときに）「問題が発生したためInternetExplorerを終了します」と出るのです。そこの詳細をクリックすると下の文字が表示されます。
　
App Ver:6.0.2800.1106 Mod Name:ntdll.dll
Mod Ver:5.0.2195.7006 offset:0004aff8

ntdll.dllで検索をしてみましたが、どうもwindows/NT系
にあるntdll.dllの脆弱性が原因というらしいのですが、PCに詳しくない私にはさっぱりわかりません。一応MicrosoftのUpdate、わかる範囲では修正パッチをあててみましたが直りませんでした。お手数でなければ回答をお願いいたします。
　

補足日時：2006/08/16 22:27

No.1 回答者： goold-man 回答日時： 2006/08/16 10:07

＞フォルダを調べても「qz.dll」「qz.sys」は見つけられませんでした

＞自分を隠すタイプ

「コンパネ」「フォルダオプション」「表示」「すべてのファイルとフォルダを表示する」にチェックをつける。
「隠しフォルダを表示しない」のチェックをはずす。はしていますか？（後で戻す）

この回答への補足

　返信ありがとうございます
＞「すべてのファイルとフォルダを表示する」にチェックをつける。
「隠しフォルダを表示しない」のチェックをはずす。はしていますか？

はい、ご指摘の個所は問題ありません。「すべてのファイルとフォルダを表示する」→チェックはついています
「隠しフォルダを表示しない」→チェックは外れています

補足日時：2006/08/16 10:13