今朝PCを起動させると、アンチマルウェア・ドクターなるものがいきなりシ

今朝PCを起動させると、アンチマルウェア・ドクターなるものがいきなりシステムスキャンをし始めし、その後警告が出ました。
偽物だとすぐにわかったためタスクマネジャーで消しました。

下の１つ目のスクリーンショットをクリックして２枚目のものです：
http://www.bleepingcomputer.com/virus-removal/re …

駆除の方法通りrkill.comとマルウェアバイツでのスキャン後感染ファイル等を発見し駆除しましたが、PCを再起動するとまた同じようにアンチマルウェア・ドクターがシステムスキャンをしてしまいます。

マルウェアバイツでスキャンをし、駆除 → 再起動

を数回繰り返しましたが、再起動するたびに、駆除したはずのアンチマルウェア・ドクターが戻ってきます(というか、まだ感染ファイルがPC内に潜んでいる）。
スタートボタン → 検索で、発見した感染ファイルは消しましたがやはり効果なしです。


１．この場合、「システムの復元」で「以前の状態に復元する」と治りますでしょうか？
マルウェアバイツのほかにスパイウェア・ターミネーターもダウンロードしましたが効果なしです。

２．「マルウェアバイツでスキャン後に駆除」した後に、パスワードを使用して閲覧するサイト（教えてgooやMixi、メッセンジャーなど）を使用しても大丈夫でしょうか？まだ感染ファイルが隠れているのであれば危なさそうなので、今は避けていますが。。

No.2 ベストアンサー 回答者： bungetsu 回答日時： 2010/06/07 09:21

こんにちは。

ＮＯ１．です。

ＵＲＬの件は分かりました。

あなたの補足から、どうやら原因はレジストリに食い込んでいるようですね。

手動で削除しましょうか。

ただし、「レジストリ」はＰＣの「心臓部」です。心臓手術をしようとしていますので、
あくまでも「自己責任」で行ってください。

下記を例にとります。
HKEY_CURRENT_USER￥Software￥Antimalware Doctor Inc (Rogue.AntimalwareDoctor)

（１）「スタート」「ファイル名を指定して実行」「regedit」と入力し「ＯＫ」。
（２）「レジストリエディタ」の画面が開く。
（３）「HKEY_CURRENT_USER」の「＋」をプルダウン。「Software」の「＋」をプルダウン。
（４）その中に「Antimalware Doctor Inc (Rogue.AntimalwareDoctor) 」はありませんか？
（５）もし、あればシメタもの「右クリック」で「削除」です。

HKEY_CURRENT_USER￥Software￥Microsoft￥Windows￥CurrentVersion￥Uninstall￥Antimalware Doctor (Rogue.AntimalwareDoctor)

上記でお分かりとは思いますが、つまりは、「￥マーク」と「￥マーク」の間をたどって行き、最後に出てきた「Antimalware Doctor (Rogue.AntimalwareDoctor)」を「削除」します。

再度、申し上げますが「心臓手術」ですので、あくまでも「自己責任」で実施してください。
（もし、間違って他のものを削除でもしてしまったら、後は「リカバリ」すれば直ります）


＞＞１．「システムの復元」で「以前の状態に復元する」と治りますか？

スパイウェアの種類によりけりです。「システムの復元」で直るものもあります。
必ずしも直るとは言い切れません。ほとんどの場合は直らない・・・と、考えておいた方が良いかもしれません。
特に今回の場合、レジストリに食い込んでしまっているので、「システムの復元」では直りません。


＞＞２．「マルウェアバイツでスキャン後に駆除」した後に、パスワードを使用して閲覧するサイト（教えてgooやMixi、メッセンジャーなど）を使用しても大丈夫でしょうか？

Antimalware Doctorがどのような「悪さ」をするのかが分かりませんので、マルウェアバイツでスキャン＆削除であっても、根本的な解決にはなりません。スキャン＆削除の後であれば、一時的には「効き目」があるかも知れませんが、やはり、原因を取り除いてからの方が「より安全」かと思います。

＞＞まだ感染ファイルが隠れているのであれば危なさそうなので、今は避けていますが。

賢明な対処法です。
すべてが解決してから、パスワードなどのサイトへは入場しましょう。
ましてや、ネットバンキングなどは、十分気をつけてください。

この回答へのお礼

Bungetsuさま、

今日主人が再度ノートンでスキャンしたら

Trojan.FakeAV!gen30 (gotnewupdate000.exe)

というファイルの場所(Cドライブの中)が出てきたのでそれを削除すると再起動してもAntimalware Doctorのシステムスキャンのポップアップがでなくなりました！！

gotnewupdate000.exeはAntimalware Doctorを強制的に閉めた後によく出てくるファイル名でしたが、まさかこれがTrojanだったとは。。

このファイルの場所は、MalwarebytesでもSpybotでも出てこず、前回のノートンのスキャンでも出てこなかったので今回はすごくラッキーだったと思います。

gotnewupdate000.exeのファイル削除後もコントロールパネルの「プログラムの追加と削除」にはAntimalware Doctorはまだ残っていましたが、Malwarebytesでレジストリキーに毎回出てくる２つの感染ファイルをまた削除するとそれも消え、また再起動してみましたが何も起こらず普通の状態に戻りました！

今回は本当にありがとうございました！

教えてGooはPCの調子が悪くなった時に主に質問を出させていただき、見ず知らずの方から色々お世話になり本当に助かるサイトです。再度お礼を申し上げます。m(_ _)m

お礼日時：2010/06/09 07:54

No.4 回答者： bungetsu 回答日時： 2010/06/08 16:54

こんにちは。

ＮＯ１．です。

言い忘れました。
Vistaであれば、
「スタート」「検索」へ「regedit」と入力します。

この回答へのお礼

何度もありがとうございます。Gooのほうで問題があるのでしょうか、ご回答１と２は閲覧できないようですが、読めたときにすでに読みました。

実は、すでに回答２にあったのを試してみましたがだめでした。感染ファイルを削除せずにセーフモードにして、スキャンしてから削除、それから３つのアンチウイルスで念入りにスキャンしてから普通モードで再起動させて見ましたが、やはりだめでした。。

後はリカバリーしかないと思いますが、メールだけでもバックアップをとりたいと思います。やはり感染ファイル削除後にバックアップしてもそれが感染してる可能性もありますよね？

お礼日時：2010/06/09 03:04

No.3 回答者： beingpeace 回答日時： 2010/06/08 13:53

リカバリーですね。

それが一番早いです。

この回答へのお礼

ありがとうございます。

バックアップは写真類はメモリースティックにとってあるのですが、メールやお気に入りなどはしばらく取っていませんでした。

一度感染ファイルを削除してからバックアップをとっても、そのバックアップが感染してる可能性はありますか？

お礼日時：2010/06/09 03:00

No.1 回答者： bungetsu 回答日時： 2010/06/06 19:44

こんにちは。

まずは、感染が疑われているＵＲＬを貼らないことが第一です。
従って、私は、あなたの掲示しているＵＲＬはクリックしません。

次のサイトのSpybotが、ある程度有効かと思います。
http://www.geocities.jp/primarystage/spyware.html

Spybotでスキャンをした後、すぐに「削除」等はせずに、「印刷」をクリックして、その内容をお知らせください。
「手動」で「削除」できるかもしれません。
多分、レジストリに食い込んでいると思われますので・・・。

ただし、あなたのウイルス対策ソフトが「ウイルスバスター」であるなら、Spybotとは「相性が悪い」ですので、１回スキャンをし、症状が改善された時点でSpybotは削除（アンインストール）してください。

この回答への補足

こちらは前回見つかった感染ファイルです。毎回レジストリー・キーから見つかります。

Registry Keys Infected: 2

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor)

(上の「￥」マークは左上から右下へかけての斜め線のマークです。）

PCを再起動後にマルウェアバイツでスキャンするたびにスキャンの詳細は保存していますが、感染場所はいつも同じです。

補足日時：2010/06/06 20:48

この回答へのお礼

早速のご回答ありがとうございます。

私が張ったURLはAntimalware Doctorを駆除する方法が書かれてあるサイトで、Antimalware　Doctorのスクリーンショットの例があるものです。

ちなみにアンチウイルスは有料ノートンを使用していますが、ノートンでスキャンしても何も出てこなかったので
Malwarebytesをダウンロードしてスキャンしてると、６つくらい感染ファイルが見つかりました。
ファイルは削除しましたが、PCを再起動するとまたAntimalware Doctorのスキャンが始まる、という繰り返しになります。再起動後にまたマルウェアバイツでスキャンすると、いつもレジストリーキーに２つ感染ファイルが見つかります。

今はデスクトップにノートンの他にマルウェアバイツ(ウイルスバスターですか？)とスパイウェア・ターミネーターもありますが、Spybotも使用して大丈夫でしょうか？

また、どなたかこちらの質問にご回答いただけませんでしょうか。

１．「システムの復元」で「以前の状態に復元する」と治りますか？


２．「マルウェアバイツでスキャン後に駆除」した後に、パスワードを使用して閲覧するサイト（教えてgooやMixi、メッセンジャーなど）を使用しても大丈夫でしょうか？まだ感染ファイルが隠れているのであれば危なさそうなので、今は避けていますが。。

お礼日時：2010/06/06 20:38