<< 前の質問 | 次の質問 >>

ウイルスによる被害ですか?

windowsのxpを使っています。Spybot - Search & Destroyを使って何度か検索しましたが、下記(Spybot結果)の問題箇所が修正、削除しても、何度も出てきます。

*それぞれの下記(Spybot結果)の横にレジストリのマークをクリックするとレジストリエディタの問題箇所に行くのですが、右クリックで、修正、又はバイナリーデータの修正、削除を押そうと思うのですが、初心者なので戸惑います。どうすればいいのでしょう。困ってます。

*他の掲示板を見たらCnsMinは消してもいいようなことが書いてはありましたが、いろんなケースがあると思いやめました。

       Spybot - Search & Destroy検索での結果       
               
               ↓

--- Search result list ---
CnsMin: [SBI $9D2A5A9F] グローバルな設定 (レジストリキー , nothing done)
HKEY_USERS\S-1-5-21-2929921499-1822044384-3664871003-1006\Software\3721

CnsMin: [SBI $F2486F44] IE 拡張 (レジストリキー , nothing done)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\!CNS

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

チェック中にエラー発生!: Virtumonde [66] (TRegExpr(comp): ParseReg Unmatched () (pos 96)) ()


チェック中にエラー発生!: Virtumonde [99] (TRegExpr(comp): ParseReg Unmatched () (pos 100)) ()


Zlob.DNSChanger: [SBI $61C3D89C] 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

長くなりましたが、宜しくお願いいたします。

投稿日時 - 2008-02-06 23:37:55

通報する

QNo.3751691

urubon777

すぐに回答ほしいです

質問者が選んだベストアンサー

下記ページより「Jwordプラグインアンインストール」を実行してみてください。
http://www.jword.jp/install/setup-5.htm

あなたのパソコンに「Jword」がインストールされてたら、アンインストールできます。
「CnsMin」は殆どの場合、「Jword」が原因です。
またJwordは勝手にインストールされることはなく、貴方が許可してると思います(一部メーカー製には最初からインストールされてることもある)。
http://enchanting.cside.com/security/cnsmin.html

投稿日時 - 2008-02-06 23:59:58

補足

返答ありがとうございます。Jwordプラグインアンインストールしました。
なんとか二つは修復できたみたいです。
残ったふたつは
              ↓

* CnsMin: [SBI $9D2A5A9F] グローバルな設定 (レジストリキー , nothing done)
HKEY_USERS\S-1-5-21-2929921499-1822044384-3664871003-1006\Software\3721

企業名: -
製品: CnsMin
脅威: Trojan

企業のURL:
_http://www.3721.com/_


*  Zlob.DNSChanger.Rtk: [SBI $FE3023DF] 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System=...KDXCL.EXE...

企業名:
製品: Zlob.DNSChanger.Rtk
脅威: Trojan

投稿日時 - 2008-02-07 02:57:21

回答を評価する 1
通報する

ANo.1

noname#56778

このQ&Aは役に立ちましたか?

はい

1人が「このQ&Aが役に立った」と投票しています

[  前へ  |  次へ ]

ベストアンサー以外の回答(5件中 1~5件目)

ANo.6

noname#59927

レジストリの経験があるのでしたなら問題はないのです。
そうでなければリカバリが安全です。

投稿日時 - 2008-02-07 12:11:12

お礼

返事遅れてすいません。いろいろ試してみて最後にリカバリしようとおもいます。ありがとうございます。

投稿日時 - 2008-03-08 12:18:30

回答を評価する 0
通報する

ANo.5

noname#59927

なかなか大変な数ですね。
>CnsMin
 まずはこれの削除の方法です
  慎重に・・・

  
 http://enchanting.cside.com/security/cnsmin.html

投稿日時 - 2008-02-07 12:01:03

補足

返答ありがとうございます。すいませんが参考のURLをクリックしましたがページを表示できないとのことです。

投稿日時 - 2008-02-07 14:36:02

回答を評価する 0
通報する

ANo.4

ryu-fiz

感染かどうか、判断は慎重にしたほうが良いかも知れませんね。

>CnsMin: [SBI $9D2A5A9F] グローバルな設定 (レジストリキー , nothing done)
>HKEY_USERS\S-1-5-21-2929921499-1822044384-3664871003-1006\Software\3721

>CnsMin: [SBI $F2486F44] IE 拡張 (レジストリキー , nothing done)
>HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\!CNS

これはご承知の通りCnsMin関連。JWordが入っている場合はSpybot-S&D上からの処理は行ってはいけません。詳しくは次のページを読んでそれに従うこと。

http://www.higaitaisaku.com/removecnsmin.html

>Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] 設定 (レジストリ変更, nothing done)
>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

ご自身でWindowsセキュリティセンターを無効にされたのなら、この検出は右クリックから『除外』してください。よく分からなかったら削除してしまっても大きな実害はないと思います。セキュリティセンター関係はまた設定し直せば良いのですから。

>チェック中にエラー発生!: Virtumonde [66] (TRegExpr(comp): ParseReg Unmatched () (pos 96)) ()

>チェック中にエラー発生!: Virtumonde [99] (TRegExpr(comp): ParseReg Unmatched () (pos 100)) ()

このエラーは既知のものです。Vista以外の日本語版Windows上ではもれなく発生すると見られています。現状ではこのエラーは無視し、気にしないのが妥当です。

>Zlob.DNSChanger: [SBI $61C3D89C] 設定 (レジストリ値, nothing done)
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

問題はこれですが…記されたレジストリはキーのみで内容が定かではありません。ですので、これを見ただけでは本当にZlobに感染してるのかどうかが良く分かりませんが。"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion"というキー自体は、どのWindows機にも普通に見られるものですしね。

参考になりそうなページを探したところ、次のページが見つかりました。

http://www.higaitaisaku.com/kakolog/cbbs.cgi?mode=al2&number=92360&rev=&no=18&KLOG=7

unknown-user氏の回答が参考になりそうです。

Zlob.DNSChangerはDNS、つまりxxx.comとかのドメインをIPアドレスに変換してサイトなどへのアクセスを可能にする仕組みに細工を行うような感染と見られます。よって、そのようなレジストリ値やファイルが見つからなければおかしい、ということになります。現状、Spybot-S&Dではレジストリ値の一部が見つかっているに過ぎないので、それだけで感染と断定するのは早過ぎるかも知れません。

次のようにしてみてください。

1)HijackThisをダウンロードし、ログを取ってみてください。やり方は次のページを参考に。

http://www.higaitaisaku.com/hijackthis.html

とりあえず、O17エントリが現れているかどうかを確認するにとどめてください。それ以外の検出やFixは今の時点で無理に独断で行わない方が無難です。どうしても必要だと感じたら、higaitaisaku.comの健康診断板や質問掲示板に移動してレクチャを受けてください。

少々それましたが、O17エントリが現れていなければZlob.DNSChanger感染の線はかなり薄いと思われます。また、現れている場合でも、接続のプロパティ上でご自身でDNSサーバの設定をされているのが反映されているだけなら問題ないと思います。

2)より詳しく感染をチェックしたいのであれば、検出力に定評のあるカスペルスキーのオンラインスキャンがお勧めです。

http://www.kaspersky.co.jp/virusscanner

1)2)で怪しい検出が見られないなら、Spybot-S&Dの誤検出、もしくは過剰反応と判断して差し支えないと思います。

投稿日時 - 2008-02-07 02:35:19

補足

返答ありがとうございます。JWordをアンインストールしたのですが、Spybotで検索しましたが、また出てきました。
参考のURLに行き、お試し版のX-Cleanerというので、除去はできましたが、1つだけまだ修復できないみたいです。↓

*Zlob.DNSChanger.Rtk: [SBI $FE3023DF] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System=...KDXCL.EXE...

その他にX-Cleanerで、 NetVision(ダイアラ)、Trojsmall、begin2searchというのがでてきたので除去はしました。

参考URLでZlob.DNSChangerを調べてみようと思います!

投稿日時 - 2008-02-07 14:10:01

回答を評価する 1
通報する

ANo.3

noname#56778

#1ですが、ゼットロブを書かれてるのを見落としました。
かなり亜種も出回ってる厄介なやつです。
#2さんも言われてますように、対策ソフトで駆除できなければリカバリーですね。

投稿日時 - 2008-02-07 00:23:23

補足

返答ありがとうございます。リカバリー未経験です。OSディスクをもう一度入れればいいのですか?

投稿日時 - 2008-02-07 14:31:21

回答を評価する 0
通報する

ANo.2

waros99

こんにちは。

ボクは黒いサイトの潜入調査や仮想マシン上でいろいろなテストをしています。

まあ、一番の問題は最後のZlobでしょうね。有名なTrojanです。もしこれに感染していたとしたら、DNSChangerとなってますから、フィッシングや他のMalwareをドロップするといったことが起きても不思議ではないです。

とりあえず真っ先にこれを処理すべきですね。お使いのアンチウイルスでもし対処できないといった場合には、リカバリやシステムの再セットアップです。

投稿日時 - 2008-02-07 00:12:33

回答を評価する 0
通報する

あなたにおすすめの質問

[PR] お役立ち情報