こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

win**.tmp.exe 駆除できるソフトを教えてください

環境: winxp pro sp2
Q1:
c:\windows\temp に win**.tmp.exe and  win**.tmp
ファイルがたくさんできてしまいます。*は16進数
・リカバリのコメントは不要:
 理由:再度、spywareに掛かる可能性があり、根本的な解決にならないためです。

調査内容: 最新version 更新済み
・norton internet security(nis)2006 全く使い物にならない。
・spy sweeper 4.5j まあまあいいが、駄目。
・spybot1.4 これが一番効果がありますが、どうしても駆除できない。
・ad-aware  駄目

投稿日時 - 2006-04-20 09:25:55

QNo.2102744

すぐに回答ほしいです

質問者が選んだベストアンサー

Trojan-Clicker.Win32.Small.kb
http://www.viruslist.com/de/viruses/encyclopedia?virusid=112642
にあるとおりカスペルスキー以外は検出しません。

Antidoteでウイルスチェックをして、ウイルス感染しているものをすべて削除してください。

リカバリー後再度、感染するというのは、話になりません。
ウイルス名の通り、クリックして新たなものを引き寄せるものなのですから、感染源をリカバリー後も実行しているのではありませんか?

1.
http://www.higaitaisaku.com/cleaninst.html
に記載してある手順と、以前行なった手順と少しでも違いがある場合は試す価値はあるでしょう。(最終的にですが)

--------
2.
どうしても、リカバリーをしないというならば、なぜ、質問する場所を変えないのでしょうか?
HijackThisを利用すれば、状態が今よりわかるのですが。

何度駆除しても復活するというのは、駆除が不完全だからです。
何よりログオン状態で、駆除作業を行なってもダメです。

http://www.computing.net/security/wwwboard/forum/17826.html
http://forums.spywareinfo.com/index.php?showtopic=69582
で見られるようにLook2MEに感染しているのでは?

Look2Me-Destroyer
http://wiki.higaitaisaku.com/wiki.cgi?action=ID&b=bkachab6bsHOlehEf5_z4A

を試してください。

投稿日時 - 2006-04-21 21:45:13

お礼

kasperskyにより、お蔭様で解決しました。
今後、HijackThisを利用させていただきます。
ありがとう御座いました。
調査内容:
1.kaspersky:解決 point:winfzx32.dllを削除。
2.Look2Me-Destroyer:駄目でした。
3.norton internet security: 検出すらしなかった。最低。
4.trend micro, spy sweeper, spybot: 検出・駆除し、正常に完了したが、見掛け倒し。

投稿日時 - 2006-04-22 16:34:15

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(6)

ANo.5

>リカバリしてもまた掛かります。
この場合、ハードディスクを物理フォーマットするしかないかも知れませんね。。
http://shattered04.myftp.org/pc_33.html

パソコンで使われるハードディスクの中には、WindowsなどのOSが直接管理しない領域というのがあって、そういう部分に悪質なソフト=マルウェアが潜伏している場合、リカバリしても最初から症状が再発する、というか全く直っていない、という場合があるみたいです。

言わば田んぼの区画の中を耕すのではなく、区画そのものからやり直してしまう必要がある、ということだと思います。物理フォーマットのやり方は参考URLに情報があります。どちらかというとパソコンをご自身で組み立てたり、パーツを自由に交換したり出来るパワーユーザー向けの作業ですから、ご自身でやるのが難しい場合もあると思います。その場合は、パソコントラブルの業者などに依頼されるのがよろしいかと。

再感染を防ぐために、次の2つのURLを参照されることを推奨します。
http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick_guide/txt.html

一番お勧めの予防策は…無茶をしない、ということですが。

投稿日時 - 2006-04-21 19:08:27

ANo.4

trojan agent winlogonhook
これについての解説が下記にありますので参考にしてください。
なお、オンライン状態では、絶対に駆除は無理でしょう。

YaHooニュース
Webroot による3月のスパイウェアトップ10ランキング
http://headlines.yahoo.co.jp/hl?a=20060404-00000020-inet-sci

推測ですが、オンラインにしている状態では外部からのアクセスがひどくて、そのためにコントロールされているのでしょう。

投稿日時 - 2006-04-21 10:48:39

補足

ANo3でも書きましたが、
1.spy sweeper:
webroot spy sweeper safe mode 最新更新: offlineで実行し、検出・駆除 正常に完了しています。それでも駆除できません。spysweeper supportも確認しています。つまり、ワクチンがないのです。
2.trend micro:
trend micro anti-spyware 3.0 も同様で、offlineで実行し、検出・駆除正常に完了しています。それでも駆除できません。
3.
同じ質問が、下記に出ています。リカバリしてもまた掛かります。
QNo.2093874 ウイルスソフトに引っかからない・・・
http://security.okwave.jp/kotaeru.php3?q=2093874

投稿日時 - 2006-04-21 11:31:23

ANo.3

No1ですけれど、tempファイルだから、ブラウザ側の一時ファイルの削除は済ませてますか?
また、Cookieの削除についても実行済みですか?

一時ファイルですから、その部分についても実行してみてください。

投稿日時 - 2006-04-20 11:06:35

補足

調査結果を下記に示します。全く効果なしです。
このspyware 敵ながらあっぱれです。

1.ie6、firefox ブラウザの一時file、cookie:もちろん削除しています。それ以外にも、残りそうな所を全て削除しています。
2.Spy Sweeper セーフ モード:正常にスキャン、及び隔離が終了。
 traceを下記に示します。
********
11:30: | セッションの開始, 2006年4月20日 |
11:30: Spy Sweeper スパイ スウィーパー 開始
11:30: 定義バージョンを使用してスキャンが開始されました 661
11:30: メモリのスキャンを開始
11:32: メモリのスキャン完了、経過時間: 00:02:41
11:32: レジストリのスキャンを開始
11:33: 検出内容 Trojan Horse: trojan agent winlogonhook
11:33: HKLM\software\microsoft\mssmgr\ (14 サブトレース) (ID = 937101)
11:33: 検出内容 Adware: prosearch.com hijack
11:33: HKLM\software\microsoft\internet explorer\main\ || default_search_url (ID = 1250783)
11:33: HKLM\software\microsoft\internet explorer\main\ || local page (ID = 1250784)
11:33: HKLM\software\microsoft\internet explorer\main\ || start page (ID = 1250785)
11:33: HKLM\software\microsoft\internet explorer\main\ || search page_bak (ID = 1250789)
11:33: HKLM\software\microsoft\internet explorer\main\ || searchurl (ID = 1250790)
11:33: HKLM\software\microsoft\internet explorer\main\ || start page_bak (ID = 1250791)
11:33: レジストリのスキャン完了、経過時間:00:00:33
11:33: クッキーのスキャンを開始
11:33: クッキーのスキャン完了、経過時間: 00:00:00
11:33: ファイルのスキャンを開始
11:33: 検出内容 Trojan Horse: trojan-downloader-aux
11:33: srvmhq[1].exe (ID = 280087)
11:57: 検出内容 Adware: coolwebsearch (cws)
11:57: winres.dll (ID = 282896)
12:07: ファイルのスキャン完了、経過時間: 00:34:01
12:07: 完全なスキャンが完了しました。経過時間 00:37:25
12:07: 検出されたトレース: 23
12:10: 隔離処理が開始されました
12:10: あらゆるトレースを隔離: trojan agent winlogonhook
12:10: あらゆるトレースを隔離: prosearch.com hijack
12:10: あらゆるトレースを隔離: trojan-downloader-aux
12:10: あらゆるトレースを隔離: coolwebsearch (cws)
12:12: 隔離処理が完了しました。経過時間 00:02:30
********

投稿日時 - 2006-04-20 12:37:36

お礼

追伸:
trend micro anti-spyware 3.0 最新 駆除結果:
unknown error: 0x80004003 沢山検出しましたが駆除不可能です。

投稿日時 - 2006-04-20 16:36:04

ANo.2

リカバリしないなら
http://www.higaitaisaku.com/
で質問しなおしたほうがいいです。

こちらでは、
字数制限に引っかかるし、ユーザー名の編集もしないとだめですから。

ただし、企業内で使用しているPCの場合は、システム管理者に許可を得てください。

投稿日時 - 2006-04-20 10:52:34

ANo.1

スタート→検索→「ファイルやフォルダ」で、「*.tmp」と入力してください。
検索されたファイルを、「ごみ箱」に移動させて「ごみ箱を空にする」ことできません?
後は、「システムの復元」を無効にしてください。

それから、「tmp.exe」のファイルが曲者らしいので、出来れば、シマンテックに解析依頼を出してください。

本音を言うと、リカバリした方が良いと思います。
推測ですが、レジストリの方も改変されている可能性が高いのです。
レジストリの改修をしないと、根本で解決できない可能性が大きく、
再びネットに接続すると、そのファイルが増殖するかもしれないです。

投稿日時 - 2006-04-20 10:09:55

補足

>スタート→検索→「ファイルやフォルダ」で、「*.tmp」と入力してください。検索されたファイルを、「ごみ箱」に移動させて「ごみ箱を空にする」ことできません?

c:\windows\temp にwin**.tmp.exe が残り、ゴミ箱に移動できません。
spybotに掛ければ、移動できます。

>後は、「システムの復元」を無効にしてください。
効果なし、です。

>それから、「tmp.exe」のファイルが曲者らしいので、出来れば、シマンテックに解析依頼を出してください。

spy sweeperに問合せしました。一番、強力なspywareだからです。

>推測ですが、レジストリの方も改変されている可能性が高いのです。
レジストリの改修をしないと、根本で解決できない可能性が大きく、
再びネットに接続すると、そのファイルが増殖するかもしれないです。

その通りです。registoryが改変されています。spy sweeperが表示しています。

問題点:
spybotで、registoryを改修しても、再起動後またこのspywareが出ます。それでも、他のsoftより、spybotの方がいいです。nis2006は最低です。

投稿日時 - 2006-04-20 10:16:16

あなたにオススメの質問