こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

trojan.desktophijackが全く削除できません

WindowsXP/SP1(Vaio Z1ノート)でweb閲覧中にtrojan.desktophijack(またはその亜種)に感染したようで困り果てています。
【症状】7分に一度、ワクチンソフトから、trojan.desktophijackの警告が出ます。しかし、何回か、全ディスク全ファイルスキャンをして見たのですがウィルスは発見されませんでした。セーフモードでも試して見ましたがだめでした。

ワクチンソフトはSymantecのAntivirusで、定義ファイルはオンラインアップデートで最新版が入っています。P2P関係は一切インストールしていませんし、怪しそうなファイルをダウンロードしたことはありません。

【これまで試したこと】
Symantec社(直接問い合わせて見たいのですがウィルス情報問い合わせ先が不明)のサイトにはtrojan.desktophijackの対処方法がかなり詳しく掲載されており、それに従って「復元をOffにする」とか、「全スキャン」とか試しましたが全くだめでした。今でも数分(6-7分)置きにアラーとが出続けます。

スパイウェア発見ソフト「SpywareDoctor3.8、\3980でしたが即購入しました」を導入し、全スキャンすると、いくつかのトロイの木馬が発見されて、そのうちいくつかは削除出来るのですが、残りの「数個はセーフモードで再起動して削除せよ」と言われるのですが、セーフモードで再スキャンしても全く検出できません。(ノーマルモードだと数個発見されて、また「セーフモードで再起動して削除せよ」の繰り返しです)。

web(教えてgooを含む)を検索すると、いくつかdesktophijackに関するQ&Aが見つかるのですが、恐ろしいことに多くが未解決のままです。リカバリーしかないのでしょうか、、、。ワクチンを入れていてWindowsUpdate(SP1としては最新版に保っていました)もしていたのにこういうことになってしまうとは、、、、。仕事が止まって途方にくれています。よろしくお願いいたします。

投稿日時 - 2006-07-10 09:33:53

QNo.2266690

すぐに回答ほしいです

質問者が選んだベストアンサー

自分も同じ状況になり、ここを参考にさせてもらってましたが解決できず、
色々他のこともして昨日解決?しました。
今は数分おきに出ていたウィルス駆除アラートは出てないです。

自分のしたことを参考に記述してみますので、助言になればと・・・
但し、レジストリを直接イヂるのでそれなりの覚悟は要りますし、
不具合が出ても自己責任ということでお願いします。

まず、
1:http://www.higaitaisaku.com/escan.htmlからescanをDLし、手順に従って、セットアップ。
2:システムの復元を無効。
3:LANの線をはずしスタンドアロンにし、とりあえず最新の状態でウィルスチェック。
4:マイネットワークのローカルエリア接続のプロパティからインターネットプロトコルの設定を開き、
優先DNS・代替DNSを確認。通常と違うものが入っていたら正しいもの
もしくは空欄にする。もし見覚えのない値が入っていたらdnschange系の
ウィルスにかかってます。そうでなかったら以後は無意味かも・・・^^;
5:セーフモードで再起動
6:1でセットアップしたecanを実行し、終わったらログを参照
7:dnschange系のウィルスに感染している旨のメッセージを探し、感染している
ファイルをゴミ箱に移動。マイクロソフト製のファイルっぽいですが、多分偽装です。
8:escanのログで見覚えのないipアドレス(上記4で記述してあったもの)を
確認し、レジストリエディタでその値を全て検索・削除する。(キーではなく値のみ削除)
9:再起動し、4で確認したipアドレスが入っていないか確認してみる。
10:LANをつないで状況を静観・・・静かなものなら完了です。

こんなところです。自分はこんな感じでいつもの状況に戻りました。

投稿日時 - 2006-07-14 09:23:43

お礼

ありがとうございます。escanではなく、同じサイトで配布されているhijackthisを使って教えていただいた方法で何とか除去できました。
ワクチンではどうにもならないんでしょうか。いやはや大変な経験をしました。

投稿日時 - 2006-07-20 01:03:40

このQ&Aは役に立ちましたか?

4人が「このQ&Aが役に立った」と投票しています

回答(7)

ANo.6

デスクトップハイジャクの他にもいろいろと感染しているようですね。

レジストリの削除とかいろいろと試してもだめなら、リカバリが一番ではないですか。

windowsを更新しても、入ったか入れたかすれば、そうなるでしょうね。

http://www.higaitaisaku.com/
そこに解決した実績があるそうですから、そこで解決してはどうですか。
といってもどのようにして感染したかわからないと再発もありうるでしょうが。

投稿日時 - 2006-07-11 12:39:03

補足

リカバリも考えましたがデータの退避はともかく、各種設定の退避復帰がややこしいので踏み切れませんでした。

投稿日時 - 2006-07-12 23:09:20

ANo.5

http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.desktophijack.html

リカバリか、http://www.higaitaisaku.com/

原因がわからないと再発もあるでしょうね。
http://www.shareedge.com/spywareguide/product_show.php?id=2168

ゲーム、出ていましたが。

解決は早いほうがいいですよ。

投稿日時 - 2006-07-10 16:48:50

補足

ですから、symantecやその他のワクチンソフトの会社のサイト解説では全く解決しなかったのです。

投稿日時 - 2006-07-11 09:40:16

ANo.4

駄目もとということで・・・

下記のレジストリキーが登録されていないか調べてみてください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

このキーは「HijackThis」の「O4」にリストアップされないので、ごく最近、偽アンティスパイウエアソフト等の「騙し商法」によく使われるようになっています。

このキーをスキャンするには「Autoruns」や「SilentRunner」を使う必要があります。

「HijackThis」がスキャンするのは下記のキーで、上記のキーをスキャンしません。

非常によく似ているので上級者でも見落としてしますことがあります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

投稿日時 - 2006-07-10 15:19:30

お礼

ありがとうございます。早速見てみましたが、それではないようでした。

投稿日時 - 2006-07-11 09:40:01

ANo.3

>system32\[*.exe"
発生源が「System32」フォルダなら入り込まれています。
症状はぎりぎりノートンが押さえているのかもしれませんが発症しても不思議無い状態かと?

ノートンより検出力の高いツールを使って調べる方法もありますが…。


OKWaveでは直せる症状も「リカバリしてください」しか書けません。
補足・お礼欄だけでは複数のログを取って提出して貰えず判断出来ない為です。

OKの過去ログ見ても分かるでしょうけど大半がオンラインスキャン勧めて参考ページ貼るのが精一杯でしょう。
各種ログを判断して駆除しようとされる方も見えますが掲示板の仕様に無理があり解決を引き延ばすだけの結果になっています。


先に紹介したサイトは駆除専門サイトです。
複数のツールを使ってログを取って感染源を洗い出し処理して行きます。
掲示板の仕様もそのようになっています。

リカバリを望まないのなら専門サイトへどうぞ。


リカバリをされるのならこちらページを参考に
http://iwata.way-nifty.com/home/2004/10/1017.html

投稿日時 - 2006-07-10 13:26:07

補足

なんとか抑え込みました。AdWare, Spybot, SpywareDrの三つに加え、専門サイトで紹介されているhijackthisでスキャンして危なそうな箇所を、掲示板の処理例を参考にfixしたところ出なくなりました。
完全に駆除できたかどうかは未だわかりません、、、。深刻さを教えていただき大変ありがとうございました。勉強になりました。

投稿日時 - 2006-07-12 23:22:35

お礼

ありがとうございます。
駆除専門サイト、見て見ましたがどなたかボランティアでやっておられるのか、膨大な量のスキャンログの中から怪しいところをピックアップして解決に導く、すごいバスターですね。
そこまでしなければ駆除できない状態になっているとは驚きで腰が抜けそうです。トホホというか、何のためにワクチンやスパイウェア検出ツールを購入しんだろう、というか、ORZです。いやはや。

いくつかのスキャンツールを試す必要があるということですのでまたご報告いたします。

投稿日時 - 2006-07-11 09:14:10

ANo.2

>web閲覧中にtrojan.desktophijack(またはその亜種)に感染したようで困り果てています。
デスクトップ壁紙が黒や赤のに入れ替わるなどの症状は出ていますか?

壁紙だけを直すのなら以下のページ参照
http://www.dynabook.com/assistpc/faq/pcdata/002903.htm
でも戻してもすぐに変えられてしまう場合多しです。


>7分に一度、ワクチンソフトから、trojan.desktophijackの警告が出ます。
ノートンのログで感染ファイルの場所を確認しましたか?
★Norton AntiVirus のスキャンログ出力方法…参照
http://wiki.higaitaisaku.com/wiki.cgi?action=ID&b=0J3H7yhM9qTdQue6DLiPlQ

症状がノートンの警告だけなら発生場所を特定して対処(削除)するしか無いです。


>いくつかdesktophijackに関するQ&Aが見つかるのですが、恐ろしいことに多くが未解決のままです。
この感染駆除実績があるのは「アダルトサイト被害対策の部屋」掲示板です。
http://www.higaitaisaku.com/

過去ログ<NO80929>
http://bbs.higaitaisaku.com/cbbs.cgi?mode=al2&number=80929&no=0&KLOG=13

投稿日時 - 2006-07-10 11:16:44

補足

trojan.desktophijackの典型的な症状は全く出ていません。壁紙もIEも影響なしです。symantec社のサイトに記載されているその他の症状(レジストリの改変)などもナシです。理由は、
イ)実は当該ウィルスがdesktophijackではなくて新種
ロ)NAVのリアルタイム保護が水際で食い止めている
のいずれかなのでしょうか、、、。

発生場所(ファイル)は"\windows\system32\[*.exe" (*は、ランダムな長い英数文字列)なのですが、これが本体ではないようでいくら削除してもダメなのです。

投稿日時 - 2006-07-10 12:50:08

ANo.1

基本的なことですが、「隠しファイルの表示」はしてますか?
通常の状態であれば、隠しファイルは表示してないです。隠しファイル内にウイルスが残っていると検出されるようです。
それを表示してみてください。

Windows初心者最速マスターガイド(ゆうゆうのホームページ)
初心者向ファイル操作のノウハウ 全てのファイルが表示されるようにする方法
http://www.geocities.jp/wizard_yuuyuu/file/file.htm

それから、プラウザに残っているCookieや一時ファイルは削除してますか?
これらからもウイルスが検出されている可能性があります。一時ファイルとCookieの削除を実行してください。

また、他の会社のオンラインチェックサイトでも確認してますか?

ノートンで検出できないウイルスが隠れていて、それが手引きをして今回検出されているウイルスを入れてる可能性もあります。
他のウイルス対策ソフトのオンラインチェックサイトで確認してください。

ウイルス対策ソフトのオンラインチェックサイトは次のところです。

トレンドマイクロウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

マカフィーフリースキャン
http://www.mcafeesecurity.com/japan/mcafee/home/freescan.asp

F-Secure オンラインスキャナ
http://www.f-secure.co.jp/v-descs/disinfestation.html

カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/

投稿日時 - 2006-07-10 10:11:34

補足

ありがとうございます。
隠しファイル表示は、もちろんやってます(というか、隠しファイル表示せずにWindows使っている人の気が知れませんが、、、。)cookieとキャッシュ、temp等も真っ先に消しました。

実際、\Windows\z290という隠しファイルが何回か出現していて、これも削除している(消せないこともあるのですが、その場合は、ツール「強削」で消しています)のですが、症状は変わりません。おっしゃるように本体は別に居るようです。

>>ノートンで検出できないウイルスが隠れていて、
見かけはtrojan.desktophijackでも、実態は新種であるかも知れぬということですか。orz

投稿日時 - 2006-07-10 10:19:00

あなたにオススメの質問