こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

トロイの木馬TROJ_Nail.Bの削除方法を教えて下さい

いくつかのトロイの木馬にかかってしまいました。
パソコンはWindows XP、ウイルス対策ソフトはNortonAntiVirus2003
(延長更新しています)をいれています。
●NortonAntiVirus2003では7個のトロイの木馬が見つかりました。
●トレンドマイクロオンラインスキャンでは、11個のトロイを検出、
 シマンテックのオンラインスキャンでは、46個のAdware.Better
 Internet、Bloodhound.Exploit.6、Unix.Penguinに感染していて、
 トロイの木馬は検出されませんでした。

AntiVirus2003で検疫されたファイルを削除、46個の感染ファイル
を削除、トレンドマイクロウイルスデータベースで指示された以下の
手順通り削除しました。TROJ_Nail.Bだけ削除できません。

セーフモードで起動→レジストリエディタでレジストリ値を修正→
Nail.exeファイルを削除
●場所
 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersi
 on\Winlogon
●値(修正前)
 Shell = "Explorer.exe C:\WINDOWS\Nail.exe"
●値(修正後)
 Shell = "Explorer.exe "

レジストリ値も、Nail.exeファイルも、何度修正・削除しても甦って
しまいます。どうしたら削除できるでしょうか。

投稿日時 - 2005-06-26 13:43:16

QNo.1474200

すぐに回答ほしいです

質問者が選んだベストアンサー

スパイウェアがバックグラウンドで実行されているので,個々に修正してもすぐに元に戻されてしまっています.セキュリティ対策会社は個々の直し方を説明しますが,それで直るとは限らないのです.一通り対策を講じることが必要です.
下記のサイトで確認してください.「被害対策手順」に,トラブル解決のための手順が詳しく記されています.(一通り見ないで下記サイトの掲示板へ質問をするのは避けてください.)
参考(スパイウェア対策関連):
アダルトサイト被害対策の部屋
http://www.higaitaisaku.com/

投稿日時 - 2005-06-26 13:51:15

お礼

教えて頂いたサイトの説明を読み始めました。丁寧なサイトを教えてくださってありがとうございました。

投稿日時 - 2005-06-26 19:14:08

ANo.1

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

回答(7)

ANo.7

No.4です。前回のやり方ではうまくいきそうにないので別の方法を考えます。

「HijackThis 1.99.1」を使ってください。

http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1

「hijackthis.zip」を解凍してできたファイルを「D:HJT」等わかりやすい名前のフォルダを作って保存してください。

「HijackThis」を起動して「Do a system scan and save a logfile」をクリック。
本体ログが表示された後、メモ帳に内容がコピーされます。
「HijackThis」を保存したフォルダに「HijackThis01.txt」で保存してください。

☆「Nail.exe」に感染すると「HijackThis」ログに下記のような表示が出ます。

 F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

   C:\WINDOWS\SYSTEM.INIに書き込まれた不正なデータです。
   レジストリエディターで修正してもすぐ書き戻されてしまいます。

 O2 - BHO: Band Class - {01F44A8A-8C97-4325-A378-76E68DC4AB2E} - C:\WINDOWS\systb.dll (file missing)

   ほかのスパイウエアでもよく使われるBHOです。
   ウィルス対策ソフトが検出してファイルを削除したと思われます。

 O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
 O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
 
   (no file)では何の意味もないので削除します。
   ウィルス対策ソフトが検出してファイルを削除したと思われます。
   この種のポンカスが残る例は珍しくありません。

 O2 - BHO: Internet Explorer Hot Fix - {E0A0833D-5B85-4913-9315-6B7D27487C33} - C:\WINDOWS\System32\xxxx.dll

   「Nail.exe」に感染したログによく出てくるBHOです。
   IDとファイル名は感染の都度ランダムに変わります。
   エキスプローラ等で削除すると別のIDとファイル名で復活します

 O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
   BHO同様、(no file)では何の意味もないので削除します。

 O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing).

   これも Nail.exe に感染したログに見つかります
   Windowsの起動と同時に「サービス」で実行されます。
   
   「スタート」「ファイル名を指定して実行」で「services.msc」と入力
   「サービス」の画面で「System Startup Service」を見つけ
   「サービスの状態」を「停止」
   「スタートアップの種類」で「無効」にして削除する必要があります。
   
今のところ私から提供できる情報はこの程度です。

「HijackThis01.txt」を参照して追加情報を書き込んでみてください。

何しろ、世界中に被害者続出で駆除に苦労しているスパイウエアです。

復活させるメカニズムがわからないので、試行錯誤が続くと思いますが、削除ツールを使うなどして解決できればと思います。

参考URL:http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1

投稿日時 - 2005-06-28 18:35:33

ANo.6

TROJ_NAIL.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_NAIL.B

上記のところから、対処方法を確認してください。
別の箇所のレジストリの編集が必要ですので確認してください。

投稿日時 - 2005-06-26 20:38:53

ANo.5

こんばんは、#2です。

質問のコアから外れちゃうと思いますが、もし、駆除が完了されました暁には、以下のようなソフトがPCの環境保護に役立つのではないかと思う次第です。参考まで。

http://www1.ark-info-sys.co.jp/products/products_pc/hdwinpro2/index.html

投稿日時 - 2005-06-26 20:37:15

ANo.4

レジストリに不正なデータが書き込まれていないか調べる必要があります。
本邦初公開なのでうまくいくかどうか、わかりませんがご協力ください。

1.下記、「はじめ」から「終わり」までをコピーしてメモ帳に貼り付けます。
2.「Nail01.bat」と言う名前でデスクトップに保存
3.「Nail01.bat」をダブルクリックして実行
4.「Nail01.txt」が作成されます。
5.中身を補足欄に貼り付けてください。

注意
「regedit /e/a ~~~」と「HKEY_~~~」は改行が入らぬよう注意してください。

:~~~~~~~~~~「はじめ」~~~~~~~~~~
regedit /e/a c:\temp01.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
regedit /e/a c:\temp02.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
regedit /e/a c:\temp03.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
regedit /e/a c:\temp04.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

type c:\temp01.txt > c:\Nail01.txt
type c:\temp02.txt >> c:\Nail01.txt
type c:\temp03.txt >> c:\Nail01.txt
type c:\temp04.txt >> c:\Nail01.txt

del c:\temp*.txt

notepad c:\Nail01.txt
:~~~~~~~~~~「終わり」~~~~~~~~~~

投稿日時 - 2005-06-26 18:15:50

補足

ありがとうございます。
ここに貼り付けるのでよいでしょうか。
↓こうなりました。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

投稿日時 - 2005-06-26 18:47:18

ANo.3

TRENDMICROのホームページに行ってみてください。
おそらく対処方が乗っていると思いますんで。

投稿日時 - 2005-06-26 15:57:17

お礼

ありがとうございます。確認してみます。

投稿日時 - 2005-06-26 18:56:37

ANo.2

こんにちは。

「システムの復元」を無効にした状態で、復元ポイントを削除しましたでしょうか。

投稿日時 - 2005-06-26 14:02:38

お礼

ありがとうございます。システムの復元を無効にするにチェックを入れて、レジストリ値の修正・ファイルの削除をしていました。質問にちゃんと書くべきでした。書き忘れてしまいました、ごめんなさい。
教えてくださってありがとうございます(^-^)

投稿日時 - 2005-06-26 19:10:14

あなたにオススメの質問