winlogon.exeとservices.exeのＣＰＵ使用率が異常です。ウイルスですよね・・・

　先日見たことないファイルを実行するとウイルスだったっぽく、
mp3やらテキストファイルやら動画やら見れなくなっちゃいました。
そして題名の２つがタスクマネージャーでＣＰＵ使用率を５０％づつ、
もってっちゃって常にすごく重い状態です。

　また、mp3やテキストファイルなどのファイル名が全てかわっています。～.mp3が～.mp3.T-650E.PNGと変わっていたりテキストファイルや動画も～.txt.T-650E.PNGや、～.avi.T-650.PNGと名前が変わり、アイコンがイメージファイルのアイコンになってます。ファイル名を変更して後半の.T-650.PNGを消してもテキストファイルだと、開くと内容がぐちゃぐちゃに文字化けしていたり、動画だと今まで見れたのにコーデックがないと言われます。

　ウイルスソフトもウイルスバスター2009やNORMANとかいう奴で検索掛けたのですが、改善されません。いまはa-squared Anti-Malwareというやつで検索中です。当然ですがすっごく重くていつになったら検索終わるのかという状態です。

　何かいい解決方法はないでしょうか・・・また最悪リカバリすることになるかもしれないですが、その場合リカバリというのをよくわかってないのですが、mp3やtxtや動画はリカバリ後、どーなるんですかね・・・できればそれ以外の駆除方法があればよいのですが・・・
よろしくお願いします。
ＯＳはwindows XP SP3です。

No.4 ベストアンサー 回答者： koke_ok 回答日時： 2009/08/10 21:51

8/7におそらく同じ（または亜種の）ウィルスに感染したものです。

もうリカバリされたかもしれませんが、ウィルスの停止方法です。
現状、一般的なスキャンソフトでは検出できないみたいです。


まずすぐにPCの電源を切ること。
そしてセーフモードで立ち上げてください。
このウィルスはセーフモードでは自動起動されません。

次に、スタートアップの内容を確認してください。
「WS_INT」などの見慣れないショートカットがあると思います。（名前は異なるかも？）
プロパティを開くと「URL=C:\WINDOWS\xxxx\winlogon.exe」等の記述があると思います。
これがウィルス本体です。
（うちでは「C:\WINDOWS\jrio\lsass.exe」でした。）

次に、上記のショートカットと、その内容が指しているファイルを、デスクトップやゴミ箱に移動してください。

以上の作業が終わったら、PCを通常モードで起動しても大丈夫です。


ちなみに、改変されてしまったファイルを元に戻すことはおそらく出来ません。
拡張子の追加とともに内容が完全に変更されてしまっています。
バックアップがなければ諦めてください。

この回答へのお礼

ありがとうございます。ちょうど放置してたんで試して見ますね！
サンクスです！

お礼日時：2009/08/23 00:16

No.3 回答者： scarletexe 回答日時： 2009/08/09 00:44

もうリカバリーしたのかもしれませんが回答します。

そもそも。
「winlogon.exe」とは、windowsの開始や終了を司っているプログラムです。
このプログラムが破損したりすると、windowsが正常に起動しなくなったりするそうです。
つまりはシャットダウンのつもりが再起動してしまったり、勝手に再起動or終了してしまったり、起動不能に陥ったりしてしまいます。
今回の質問ではその症状がないので、恐らくwinrogon.exeは破損していないと思います。
正規の「winlogon.exe」はここにあるはずです↓
C:\WINDOWS\system32\winlogon.exe(XP＆vistaの場合)
他のOS時の位置はちょっと解りません・・・
この場所以外にある「winlogon.exe」は偽のファイルだと思っていいでしょう。削除等をお勧めします。
スパイウェアの中には、「winlogon.exe」を利用し、違うファイルを勝手に実行する物もあるそうです。
よって、スパイウェア除去ツールの使用をお勧めします。
「spybot」等をお勧めします。
重くなってしまっても、まずはこれらのツールを使用して見て下さい。
「services.exe」はWindowsのイベントログの記録やプラグ＆プレイの機能を司るプログラムです。
感染しているウイルスはこれではないでしょうか。
http://www.jcsa.or.jp/vi-w32golten.html
W32/Golten↑
とりあえず、気長にスキャンして見て下さい。
プロセスの終了はしないでください。
重要なシステムプロセスです。
最悪、更に不安定になりかねません。
この後は定期的にバックアップを取ることをお勧めします。
どうしても修復が不可能ならば、リカバリするしかないでしょう。
書き換えられたファイルは、残念ながら修復はほぼ不可能です。
これに関しては致し方ありません。
ウイルスアンチにかけた時点で大体感染ファイルとして削除されてしまうでしょう・・・

この回答へのお礼

ややっこしいウイルスもあったものですねぇ。
長文ありがとうございました！

お礼日時：2009/08/23 00:18

No.2 回答者： redirect 回答日時： 2009/08/08 01:00

マルウェアを集めてテストなどをしている者です。

まあ、日頃からシステムを含めてバックアップ取っていない人はいざというときに困りますよね。

リカバリしたほうが早いと思います。

これからはちゃんとバックアップを取ることですね。

この回答へのお礼

解答サンクスです。バックアップとっておきます・・・ｗ
ありがとうございました。

お礼日時：2009/08/23 00:18

No.1 回答者： noname#140925 回答日時： 2009/08/08 00:20

お使いのPCの取扱説明書に、リカバリーのやり方が、懇切丁寧に載っているので、良く読みながらリカバリーを行ってください。

リカバリーは工場出荷時の状態に戻すための物ですので、中身は綺麗サッパリ消えてなくなります。

拡張子を元に戻しても正常に見れないのなら、既に画像や動画のファイル群は全て中身を書き換えられているって事ですので、それらを下手に残すと、リカバリーしてもそれらがウイルスに感染していて、再度PCがウイルスに感染する恐れがありますので、綺麗サッパリ諦めましょう。

この回答へのお礼

今度からバックアップとるようにします・・・
ありがとうございました。

お礼日時：2009/08/23 00:19