こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

qoqudmtoというEXEファイル

qoqudmto.exeというファイルが勝手に生成されて困っています。
このファイル自体、無害なのか有害なのかさえ分かりません。

このファイルには、
Qernel Mode Drive Manager
会社名:Four-F
と説明されていますがネットで検索してもあまり出てきません。

ログインすると、
C:\Documents and Settings\<ユーザー名>\Local Settings
C:\WINDOWS\system32
の2箇所に生成されます。


セーフモードでファイルを削除したりレジストリを削除しても次に起動するときには
自動でファイルが生成されたりレジストリも書き換わっています。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ウィルスソフトでのスキャンでも検出されず、何をしようとしているのか分からず
不気味なので2度と出てこないようにしたいです。
リカバリーも考えていますが、最終手段にしたいと思います。

皆さん、お力を貸してください。

ちなみにOSはXPです。

投稿日時 - 2011-02-23 17:02:00

QNo.6544842

すぐに回答ほしいです

質問者が選んだベストアンサー

確かに
qoqudmto.exeでは検索にこの相談しか出てきませんが、
Qernel Mode Drive ManagerとFour-F(進化という意味らしい)では次の二つがヒットします。
http://www.virustotal.com/file-scan/report.html?id=9501748a43148182784cce924d6d0e9f099be305b74397215b8ace55a171bb88-1298264301
http://www.virustotal.com/file-scan/report.html?id=265a65f199ab4e86880c1ec440102ef7d9826ba8bc95ede4e26eeacdf404b7e2-1298076710
ページ下方の[Show all]をクリックすると表示されます。

他にも、algzcu32.exeというのが有りました。
http://systemexplorer.net/db/algzcu32.exe.html
ファイルサイズや名称が違いますが
publisher....: Four-F
copyright....: Copyright (c) 2002-2005 Four-F
product......: Qernel Mode Driver Manager
description..: Qernel Mode Driver Manager
original name: QmdManager.exe
internal name: QmdManager
file version.: 1, 3, 0, 0
comments.....: Let you install, start, stop and uninstall device drivers
verified.....: Unsigned
の部分は共通のようです。

ですから、qoqudmto.exeもvirustotal.comにアップロードして検査すれば検出結果が出るでしょう。

削除してもまた出てくるということは、他に隠れた仲間がいるということです。
「ウィルスソフトでのスキャンでも検出されず」ということですので、このPCのWindowsXP上では成す術がありません。
絶対にやってはいけないこと
オンラインスキャン・システムの復元・他のスキャンプログラム
何れも事態をより悪くします。

解決方法は健全なPCを借りて、
ノートンユーザーなら
ノートン ブータブル リカバリ ツール(要プロダクトキーまたは PIN)
http://security.symantec.com/nbrt/nbrt.asp?lcid=1041
その他なら無料で使えるなかで VirusTotalで検出できている
AVG Rescue CD
http://www.avg.com/us-en/avg-rescue-cd-download
BitDefender RescueCD
http://download.bitdefender.com/rescue_cd/
をダウンロードして起動CD(Live-CD)に焼き付けて、
問題のPCで起動し、ウイルスパターンファイルをアップデートしてからスキャンします。

ドライブを外して他のWindowsPCの外付けとしてスキャンする事もできますが、幾つかのシステムホルダーがWindowsに保護されて完全なスキャンができません。
Live-CDのように違うOSならWindowsの保護が無効なのでスキャン駆除できるのです。

これで駄目なら、リカバリー(ハードディスクを新しい物にしてください。←重要)しましょう。
ハードディスクはWipe-OUTで、全データ完全消去したものでもOKです。
http://www.wheel.gr.jp/~dai/software/wipe-out/
こうしないと、フォーマットやパーティション削除しても消えないMBRに感染したウイルスなら生き残ってしまいます。

投稿日時 - 2011-02-23 19:53:46

お礼

ウィルス関係で一度システムの復元で失敗しているので今回はやらないでおきます。

まずはこのウィルスを検出可だったAVGのRescue CDを作って試してみます。
LIVE-CDから徹底的にスキャンしてみて、それでも見つからなかったら観念してリカバリしてみます。

とても参考になりました。ありがとうございます!

投稿日時 - 2011-02-24 12:29:23

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.3

こんばんは、

Qernel Mode Drive Managerで出ました。
新しいマルウエアのようですね。
まだ検出出来て無いソフトが結構あります。
http://www.virustotal.com/file-scan/report.html?id=9501748a43148182784cce924d6d0e9f099be305b74397215b8ace55a171bb88-1298264301


こちらを参考に対処なさってください。
https://www.ccc.go.jp/flow/03/322.html
https://www.ccc.go.jp/flow/03/330.html
https://www.ccc.go.jp/flow/03/340.html

投稿日時 - 2011-02-23 23:46:03

お礼

まだ、検出できていないマルウェアだったのですね。
どうりで今持っているウィルスソフト(ソースネクスト)では検出できなかったわけです。
名前はおそらくランダムにつけられたものだったのですね。
駆除できるようにがんばってみます。

ありがとうございました!

投稿日時 - 2011-02-24 12:22:48

ANo.1

apple製品もそうですね、何度レジストリから削除しても復活していて起動をとめれませんでした。

サービスを見てみてはいかがですか?

同様にレジストリから消えてるとレジストリ書き込みするサービスが登録されているかもしれません。


もしくは、当該場所に置いてあるその実行ファイルの元となるファイルがどこかにあるはずです、それをログオン時にコピーしているのかもしれないので、それを検索して削除するとか。

投稿日時 - 2011-02-23 17:09:38

補足

サービスのところを見てみたのですがそれらしいものはなく、スタートアップの項目にqoqudmtoという項目がありました。

場所がSOFTWARE\Microsoft\Windows\CurrentVersion\Run
となっていますが、レジストリは削除してあるはずなのになぜかこの項目が残っています。

セーフモード時に無効にしてみましたが、起動時にまた生成されました。

投稿日時 - 2011-02-23 18:06:18

お礼

レジストリを調べてみたら、

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam

のところにも起動する項目が書き込まれていました。
ここも削除して、様子を見てみます。

サービスのところも見てみるということを学びました。
ありがとうございました!

投稿日時 - 2011-02-24 08:45:44

あなたにオススメの質問