トロイの木馬が削除できない：lsass.exe

こんにちは。
現在トロイの木馬が駆除できずに困っています。

1ヶ月ほど前から「lsass.exe」が異常終了する現象が出ていましたが
特に影響が出てたわけでもなくただ強制終了しました、というウインドウ
が表示されるだけでしたので放置していました。
ところがここ1週間ほどになってウイルスバスター2009のポップウィンドウで

"疑わしいプログラムが拒否されました"
"保護のため、windowsセキュリティポリシーを
変更する試みはブロックされました"
プログラム名：lsass.exe

と表示されるようになり
それがほぼ1～2分置きに出続けています。
それでウイルスバスターの不正変更の履歴を見ると該当ファイル名が
C:\Document and settings\ユーザー名\Application Data\Microsoft\Windows\lsass.exe
となっており、ウイルス名は「TROJ_GENERIC.DIT」となっていました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

一度ウイルスバスターの全体検索をかけましたが。駆除することができません。
手動で駆除する必要があるようなのですが、実際に上記のC:\Document and Settings....以下に
「lsass.exe」は存在せず、PCで「lsass」でファイル検索すると
lsass(3).exe　　C:\WINDOWS\system32
lsass.exe　　　 C:\WINDOWS\system32
lsass.exe　　　 C:\WINDOWS\ServicePackFiles\i386
の３つだけでした。

実際にこれといった被害があるわけではないのですが
常にポップアップが表示されていまして、履歴はここ1週間で
5千件以上になっています・・・。
どなたかお力をお貸しください・・・。
リカバリは避けたいです・・・。

PC環境はXPのSP3です。必要事項あれば補足いたしますm(. .)m

No.3 ベストアンサー 回答者： o_tooru 回答日時： 2009/07/14 06:46

おはようございます、お困りですね。

さてご質問の件ですが、なんとも言えませんね。一度safeモードで
PCを起動してみてください。電源をいれた後で　すぐにf8キーをガシガシ
たたきますと、起動モードを選択する画面になります。

safeモードで起動した後、ウィルスバスターを起動し　そこで
PCをスキャンしてみてください。

なお、トレンドマイクロのサイトによると、ウィルスの疑いがあるとのこと、万が一何らかのファイルが発見されても、隔離するだけにとどめておいて下さい、削除なさらないように。

この回答への補足

おっしゃるようにセーフモードで検索をかけてから
ウイルスバスターで駆除することができました。
やはり同じ「TROJ_GENERIC.DIT」がC:\Document and....以下に
見つかりまして、駆除ボタンで処理できたみたいです。
削除してくれたんでしょうか。
何はともあれアドバイスありがとうございました。助かりました。

補足日時：2009/07/14 22:11

この回答へのお礼

補足とお礼を間違えましたm(. .)m

お礼日時：2009/07/14 22:21

No.6 回答者： redirect 回答日時： 2009/07/14 21:34

マルウェアを集めてテストなどをしている者です。

lsassってのはですね、Local Security Authentication Subsystemと言ってユーザー認証やローカルセキュリティーポリシー、ユーザーやグループの権限、監査といったWindowsのセキュリティーに関する中核プロセスです。

で、質問文からして誤検出などではありませんね。マルウェアによるものと思われます。リカバリかけたほうがいいです。

この回答へのお礼

ご指摘のとおり誤検出ではありませんでした。
とりあえず駆除できたので様子を見たいと思います。
もし再発するようならば諦めてリカバリます。
ありがとうございました。

お礼日時：2009/07/14 22:31

No.5 回答者： noname#147176 回答日時： 2009/07/14 17:13

〉〉ウイルス名は「TROJ_GENERIC.DIT」・・・・

せっかくウイルスバスターが、仕事をしてくれているので活用
しましょう。
質問者さんが提示しているサイトの『対応方法』に詳細に書いてます。↓
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …


念のため、当方のPC(XP_SP3)でのlsass.exe検索結果を提示して
おきます。
C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
詳細設定オプションで、『システムフォルダの検索』、『隠しファイルと
フォルダの検索』、『サブフォルダの検索』にチェックを入れておく。

〉〉実際に上記のC:\Document and Settings....以下に「lsass.exe」
〉〉は存在せず
すべてのファイルやフォルダーが表示されるようにしましたか。↓
http://www.higaitaisaku.com/zenhyoji.html
作業が終了したら設定を、戻しておいて下さい。

この回答へのお礼

検索までしてもらってありがとうございました。
隠しファイルのオプションはチェックしていませんでしたね・・・。
人並みにPC知識はあるつもりでしたがお恥ずかしいかぎりです。
対応方法はもちろん閲覧してましたが、削除や採取しようにも
該当ファイルが無いので困っていた次第です。
ありがとうございました。

お礼日時：2009/07/14 22:29

No.4 回答者： s-e-kun 回答日時： 2009/07/14 08:53

PC初心者の回答なので参考にならないかもしれませんが個人的には誤検出かなと思いますが、PC初心者の為に確信は全然有りません。

lsass.exeが壊れてしまい、それをウイルスバスターが誤検出してるのではないでしょうか？
一様以下がマイクロソフトのURLです。
http://support.microsoft.com/kb/306483/ja
http://support.microsoft.com/kb/824226/ja
http://support.microsoft.com/kb/274172/ja
で以下がlsass.exe等の脆弱性を使うウイルスの参考URLです。
http://internet.watch.impress.co.jp/cda/news/200 …
ただ余り参考にならないかもしれませんが、個人的には誤検出かなって思えますけど。
心配なら以下のエフセキュアオンラインスキャン等で一度スキャンをされて見られてはどうでしょうか？
http://www.f-secure.co.jp/v-descs/disinfestation …
これで検知が無ければウイルスバスターでの検知もTROJ_GENERIC.DITと有る様に未知のウイルス検出機能での検知なので誤検出の可能性が高いと思います。
ただ誤検出だとしたら除外でそれを検出外から外す設定は有るとは思いますが。Windowsで使ってるプログラムなので、検出外にするのもお勧めできませんしその旨をトレンドマイクロ（ウイルスバスターの会社）に問い合わせて見るのが一番かもしれません。
私自身PC初心者なので良いアドバイスが出来ませんが参考になれば幸いです。

この回答への補足

私も調べていると誤検出の記事が結構あったので
そうなのかも・・・？と思いましたが、今回はどうやら
そうではなかったようです。
ありがとうございました。

補足日時：2009/07/14 22:17

この回答へのお礼

補足とお礼を間違えましたm(. .)m

お礼日時：2009/07/14 22:21

No.2 回答者： goold-man 回答日時： 2009/07/14 03:25

(1)lsass.exeはローカル・セキュリティ管理サブシステム。

セキュリティ・サブシステムのローカル・セキュリティ・オーソリティ・サービス (LSA)コンポーネントを実行するプロセス、OS起動やログインに必要なプログラム（システムに必要なプロセスなので消さないように）
(2)上記正規のプログラムlsass.exeに名を変えて潜んだトロイの木馬系スパイウェア・アドウェア・ワーム（メモリ上に常駐している不正プログラムウィルス） 　　　
のどちらかわかりませんが、参考URL及び下記URLをご覧ください。

http://oshiete1.goo.ne.jp/qa3138165.html

http://esupport.trendmicro.co.jp/Pages/JP-29037. …

＞C:\Document and Settings....以下に「lsass.exe」は存在せず

「コントロールパネル」「フォルダオプション」「表示」「すべてのファイルとフォルダを表示する」にチェックを入れ、「隠しファイルおよび隠しフォルダを表示しない」や「登録されているファイルの拡張子は表示しない」のチェックを外す。
で拡張子を表示するようにしてから検索しましたか？

＞ウイルス名は「TROJ_GENERIC.DIT」となっていました

Windowsフォルダ（\system32）の\lsass.exeがBKDR_SMALL.BSZと検出されている事例もありますが、TROJ_GENERIC.DITとして検出されたのですか？（この場合手動削除手順によりセーフモードで起動したり、レジストリエディタで削除したりしています）
また、**ボットウィルスとして検出された事例もあります。

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

参考URL：http://sunlight.cocolog-nifty.com/sunlight/2006/ …

この回答へのお礼

おっしゃるとおりメモリに常駐している不正プログラムのようでした。
セーフモード起動してウイルスバスター検索で駆除できましたが
PCも問題なく動作しているみたいです。
ありがとうございました。

お礼日時：2009/07/14 22:10

No.1 回答者： Z80A-CPU 回答日時： 2009/07/14 02:12

ウィルスを削除してくれる（フリー）ソフトをかたっぱしから、試してみてはいかがでしょうか、あとオンラインスキャンなども試してみてはどうでしょうか、ひとごとですいませんが。

この回答へのお礼

フリーソフトを試すことも考えましたが、面倒くさいのと
お金出してウイルスバスター使ってるのが妙に悔しいので
実行には移せませんでした(^^;
ありがとうございました。

お礼日時：2009/07/14 21:57