こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

SpybotSDで「Win32.Agent.pz」のレジストリがどうしても修正出来ません。

インターネットで調べ物をしている時に海外のサイトにアクセスした所
偽アンチスパイウェアソフトをインストールさせるスパイウェア/ウィルスが進入したらしく
ソフトのインストールを促す画面が出てもインストールはしませんでしたが
スパイウェア/ウィルスはPCに入り込んでしまった様で「smitfraudfix」「Ad Aware」「Spybot」「カスペルスキーオンラインスキャン」「avast!」等で削除しました。
見た目は問題なくなりましたし動作も不安定ではないのですが「Spybot」で何度修正しても下記の「Win32.Agent.pz」のレジストリの問題が現れます。

Win32.Agent.pz: 設定 (レジストリ値, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network\UID

Win32.Agent.pz: 設定 (レジストリ値, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Network\UID

Win32.Agent.pz: 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID

ちなみにその後「カスペルスキーのオンラインスキャン」「symantecオンラインスキャン」をした所スパイウェア/ウィルスは発見されませんので本体そのものは削除されていると思います。

感染した後のウイルス削除の方法は下記の通りです。

1) avast!で検索して削除
2) Ad Aware,Spybotで出てきた物を削除
3) カスペルスキーオンラインスキャンでRESTOREにウィルスを見つけたのでそのファイルのみを削除
4) 心配だったのでsmitfraudfixをセーフモードで起動して実行

これだけのことをしてもまだspybotでレジストリの警告がでます。
出来たらこのレジストリを削除してしまいたいのですが問題ないでしょうか?
もしどなたかご存知の方いらっしゃったらよろしくお願い致します。

投稿日時 - 2008-08-24 21:31:46

QNo.4275636

困ってます

質問者が選んだベストアンサー

>C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,

Googleで検索してみましたが、"oembios.exe"はAgent系の感染に関わるファイルのようです。avast!やSpybot-S&Dのサポートフォーラムにも関連記事がありましたが…

http://www.windowsbbs.com/malware-virus-removal/76228-google-redirects-sdfixit-log-included.html

ここでは、殆どの感染に対しMalwarebytes' Anti-Malwareが効いたようです。試してみる価値はあるかも知れません。

http://okwave.jp/qa4133387.html
使う場合は、2番さんの回答を参考にしてみてください。改善出来たと思われる場合は、カスペルスキーのオンラインスキャンで再確認を。

http://www.kaspersky.co.jp/virusscanner

投稿日時 - 2008-08-25 18:49:41

補足

参考までAvast!ログを添付します。

お礼にも書いてありますが起動すらしなくなってしまった為HDを取り出して外付けHDとして他のPCで削除を行ったのでCドライブがHドライブとして認識されております。

宜しくお願い致します。

2008/08/22 22:38:022128Sign of "Other:Malware-gen" has been found in "H:\Documents and Settings\ユーザー名\.jpi_cache\jar\1.0\Java.jar-76cf64cf-1c68dc13.zip\javajava\Java.class" file.

2008/08/22 23:04:172128Sign of "Win32:Zbot-AJV [Trj]" has been found in "H:\pagefile.sys" file.

2008/08/22 23:50:022128Sign of "Win32:Trojan-gen {Other}" has been found in "H:\WINDOWS\system32\blphcvc6j0ela1.scr" file.

2008/08/22 23:55:292128Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\WINDOWS\system32\drivers\tdssserv.sys" file.

2008/08/22 23:59:062128Sign of "Win32:Trojan-gen {Other}" has been found in "H:\WINDOWS\system32\tdssl.dll" file.

2008/08/23 0:00:332128Sign of "Win32:Trojan-gen {Other}" has been found in "H:\WINDOWS\system32\tdsslog.dll" file.

2008/08/23 0:01:232128Sign of "Win32:Trojan-gen {Other}" has been found in "H:\WINDOWS\system32\tdssmain.dll" file.

2008/08/23 1:01:371664AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: H:\WINDOWS\system32\lphcvc6j0ela1.exe (H:\WINDOWS\system32\lphcvc6j0ela1.exe) returning error, 00000005.

2008/08/23 6:15:242132Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\System Volume Information\_restore{2AD14493-CA75-4A7A-8BD1-0E38928C6635}\RP345\A0048006.sys" file.

2008/08/23 6:15:522132Sign of "Win32:Trojan-gen {Other}" has been found in "H:\System Volume Information\_restore{2AD14493-CA75-4A7A-8BD1-0E38928C6635}\RP345\A0048007.dll" file.

2008/08/23 6:15:522132Sign of "Win32:Trojan-gen {Other}" has been found in "H:\System Volume Information\_restore{2AD14493-CA75-4A7A-8BD1-0E38928C6635}\RP345\A0048008.dll" file.

2008/08/23 6:15:522132Sign of "Win32:Trojan-gen {Other}" has been found in "H:\System Volume Information\_restore{2AD14493-CA75-4A7A-8BD1-0E38928C6635}\RP345\A0048009.dll" file.

投稿日時 - 2008-08-25 23:23:21

お礼

ryu-fizさん回答有難うございます。

サイトでいろいろ検索していたら私のかかったウィルスがなんとなく判ってきました。
下記のサイトのウィルスが私のかかったウィルスと全く同じものです。

http://forums.whatthetech.com/Windows_Warning_Message_t94763.html

ウィルスにかかってしまってしまった時の状況は下記のようなものでした。

Googleで検索をしていてその中にあるサイト(英語サイト)に行った所、すぐにファイアウォールが自動で解除されてしまい、すぐに有効にしたがその後また無効になってしまった。
(決して怪しいサイトに行った訳ではありません)
その後Warning! Spyware detected on your computer!の画面がでて偽のアンチウィルスソフトのインストールを促す。
壁紙が青色のものに代えられてしまう。
起動できなくなってしまったのでハードディスクを外して他のPCに外付けにした状態でウィルス削除をした。
(下記にavast!のログがありますがドライブが「H:」となっているのは外漬けにした為でH:は全てC:ドライブです)
復元ポイントが全て消されていて復元も不可能。
avast!でウィルス削除後「画面のプロパティ」の「デスクトップ」タブと「スクリーンセーバー」タブが無い。
その後その問題はレジストリで変更することに成功。

avast!のログが文字数の関係で貼れないのでANo.5の補足とお礼に分けて記入します。

これから教えていただいたWindowsBBSにあるMalwarebytes' Anti-Malwareを試してみます。
また後で報告します。

投稿日時 - 2008-08-25 23:19:48

ANo.5

このQ&Aは役に立ちましたか?

9人が「このQ&Aが役に立った」と投票しています

回答(6)

ANo.6

#1です。

再度調べ直してみました。

これってGoogle AdWordsを悪用したTrojanなんじゃないですかね。

コードインジェクション(Persistence目的)やユーザーモードルートキットが使われてるようです。

質問文にある3つのエントリは感染マシンのマーカーとして使われてるようです。

winlogon.exeはログインマネージャで、直後にユーザー環境を初期化するuserinit.exeが実行されます。で、カンマで区切ってC:\WINDOWS\system32\oembios.exeも実行されるようにすると。

シェルが起動されるのはこの後ですからね。つまり、ブートシーケンス中の処理に割り込んでいるのです。

で、#5さんの示されたソフトで処理できればいいんですが、こういったたちの悪いやつの場合はリカバリが最善です。

投稿日時 - 2008-08-25 22:49:26

補足

wamos101さんこんばんは。

再度有難うございます。

私も実はGoogleAdWordsが怪しいかと思っております。
というのも私以外にもWikipediaを見ていただけで同じウィルスに感染した方もいるようですので。

参照:http://nagitema.blog59.fc2.com/blog-date-200808.html

一度ryu-fizさん教えて頂いたソフトMalwarebytes' Anti-Malwareで検索した所更にウィルスが出てきました。
さまざまなソフトを使って何度スキャンしても見つからなかったものを沢山検出して驚きました。

ただ問題のあったレジストリがやはり復活してしまうので今セーフモードでスキャンしております。

どちらにしても時間のある時に再インストールしようと思っておりますがとりあえずそれまでパスワードや情報が流れてしまったりする事が心配なのである程度クリーンアップしようと思っております。

2回目のスキャンが終わりましたら連絡致します。

投稿日時 - 2008-08-25 23:38:43

お礼

こんばんは。結果から申しますとryu-fizさんに教えて頂いたMalwarebytes' Anti-Malwareでスキャンした結果ほぼきれいな状態になったと思います。

Malwarebytes' Anti-Malware 1.25
Windows 5.1.2600 Service Pack 2
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 1
Registry Data Items Infected: 3
Folders Infected: 1
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)

ほぼと申しましたのはLogを見るとウィルスは見つからないとなっておりますがスキャン途中で731エラーが出てスキャン後にTrojan.Virantixが検出されます。
名前が出るだけでターゲットが存在しないのですが何かしらの痕跡はまだあるようです。

ただ、最強と言われるカスペルスキーやAd Aware, Spybot, SUPERAntiSpyware, X-Cleaner,Avast!等他のウィルス対策ソフトでスキャン&削除した後にこれだけ沢山新たに検出されたのは驚きです。
レジストリももう勝手に復元する事もなくなりました。

他の質問欄が一杯でお礼が全ての人に言えないのでこちらで皆さんにもお礼申し上げます。

何とかログもお見せしたかったのですが文字制限でどうしても無理でした。
ちなみに「oembios.exe」に関しましては下記の通りTrojanでした。
C:\WINDOWS\system32\oembios.exe (Trojan.Agent) -> Delete on reboot.

ありがとうございました。

投稿日時 - 2008-08-26 01:37:09

ANo.4

自分自身での検証が十分ではないので、参考程度ですが…

http://www.mcafee.com/japan/security/virS2007.asp?v=Spy-Agent.bw
http://www.mcafee.com/japan/security/virPQ2007.asp?v=PWS-JT
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-081617-4608-99&tabid=2
http://ca.com/jp/securityadvisor/virusinfo/virus.aspx?ID=72901

レジストリエディタから次のエントリを調べてください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

画面左のツリー上でこのエントリを選択すると、右にサブキーが表示されますが、"Userinit"というサブキーがあったらその値を参照してください。

例えば、ntos.exeの自動起動にこのエントリが使われる際には次のように記述されるみたいです。

%System%\userinit.exe,%System%\ntos.exe
("%System%"はシステムフォルダのパス、つまり存在場所を示す環境変数ですので、代わりにシステムフォルダへの絶対パスが書かれている場合もあります)

ちなみに、当方の""には
C:\WINNT\SYSTEM32\Userinit.exe,
とだけ書かれています。","以降に何らかのファイルが指定されている場合、それが今回の感染に影響を与えている可能性は高いと思います。

また"pathx"というサブキーが存在していたら、その内容も確認してみてください。そこで指定されているファイルが感染に関連している可能性があります。

なお、今回の感染では悪質なプロセスの存在を隠すためにルートキットが用いられている可能性があります。avast!にもルートキット対策機能が付属していると思われますが…。

まだでしたら、一応ブートタイム検査も試してみてください。
http://avast.tte-navi.info/boot_time.html

目立った検出がない場合、他にも無償で公開されているルートキット対策ツールは複数存在しますので、そういったものを使えば何らかの対処は可能かも知れません。ただし、現時点でどれが有効かについては分かりませんので、ご利用は自己責任でお願いします。

投稿日時 - 2008-08-25 13:42:07

お礼

ryu-fizさん回答いただきましてありがとうございます。

参考に貼っていただいたリンクは私も見ていました。
確かに似たような症状があります。
ただ対策をどうして良いのか分からないでいました。

教えていただいた通り下記のエントリを調べてみました。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

私の「userinit」には下記のように記されています。

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,

ちなみに「oembios.exe」の作成日時が2004年8月4日でアクセス日時が2008年8月23日です。
私が感染した日は8月22日です。

「pathx」というサブキーは見当たりませんでした。

その他、avast!で感染を削除した時にはファイル名に「tdss」の文字が付くファイルが沢山検出されました。
そこで心配なのが下記のレジストリです。

HKEY_LOCAL_MACHINE\SOFTWARE\tdss

この階層以下のファイルはconnections, disallowed,injector,versionで特にversionフォルダの中に2つサブキーがあり、
一つは名前:(規定) 種類:REG_SZ データ:(値の設定なし)なのですが
もう一つは名前:ttp://stableclicl.com/clt/get/php?file=cmds/init 種類:REG_SZ データ:2.2とあり非常に怪しいです。
(httpの最初の「h」はリンクにならないように外してあります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata

上記の階層以下にはフォルダはありませんが下記のファイルがあります。
(規定), affid, control, flagged,googleadserver,prov,subid,

中でもgoogleadserverのデータには「pagead2.googlesyndication.com」がありこれも怪しいです。

ちなみにSpybotSDで検出された下記のレジストリと上記の2つのフォルダに「tdss」が付くものを削除しましたが再起動後また現れました。

今からブートタイム検査を致しますので結果をまた報告させていただきます。

済みませんが出来ましたら引き続きアドバイスよろしくお願い致します。

投稿日時 - 2008-08-25 15:55:14

ANo.3

こんにちは。
レジストリの変更、または、追加されたものを詳しく記載いただきましたので、次のようにしてください。

なお、レジストリはPCの「心臓部」にあたりますので、「自己責任」と「作業を慎重に」行ってください。あくまでも、「自己責任」で・・・。

まず、次のサイトにある「レジストリのバックアップ」を実施してください。
http://support.microsoft.com/kb/322756/ja
「ファイル名を指定して実行」には、コピー&ペイストで貼り付ければ良いでしょう。

次に、「スタート」「ファイル名を指定して実行」。ここに「regedit」と入力。「レジストリ エディタ」の画面が開きます。

ここからは「慎重に」!

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network\UID

これを例にとります。

HKEY_USERSの「+」をプルダウン。S-1-5-19をプルダウン。Software。Microsoft。WindowsNT。CurrentVersion。Network。と、次々に開いていきます。

この中に「UID」というホルダー、または、文字だけのものがありませんか?あれば、それを「右クリック」で「削除」してください。

これですでにお気づきかも知れませんが「¥」マークと「¥」マークの間をプルダウンで開いて行って、「UID」と言うホルダー?を「削除」してください。もともと、この「UID」は正常な時には無かったものでしょうから、「削除」してかまわないと思います。

あとの2つも同じ方法です。

もし、間違って、他のものを「削除」したり、PCの作動がおかしくなった場合は、
「スタート」「すべてのプログラム」「アクセサリ」「システムツール」「システムの復元」で数日前の「復元ポイント」を選択して元に戻してください。

くれぐれも「自己の責任」で。そして「慎重に」・・・。

投稿日時 - 2008-08-25 08:50:44

お礼

bungetsuさん回答ありがとうございます。

実は3つ全てのレジストリを削除してみましたがPCの再起動後何度も現れる事が分かりました。

ちなみに「UID」はフォルダではなくサブキーになります。

このウィルスが見つかってavast!で削除した時には「tdss」と言う文字が含まれるファイルやフォルダが沢山見つかったのですがANo.4のryu-fizさんへのお礼でも書きましたようにこのレジストリに関してもフォルダを何度削除しても復活します。

実行ファイルは多分削除できたと思いますがそれ以外にまだ残っているファイルがあるのだと思います。

またアドバイスがありましたらよろしくお願い致します。

投稿日時 - 2008-08-25 16:08:29

ANo.2

#1です。

プロセスに関してはProcess Explorerが便利ですよ。ロードしてるモジュールも調べらます。DL後の初回起動では同意を求められます。起動したら、Ctl+Dとやると下に新たにペインが出ると思います。その状態で上段の任意のプロセスを選択すると、そのプロセスがロードしてるモジュールがわかります。


>ちなみに該当するレジストリ3つを削除してみましたが再起動後はやはりSpybotで検出されました。

すいませんが、これは私はわからないのです。nothing doneなのでとりあえずとしては良くない状況とは思えませんが。調べるとしたらフォーラムですかね。

投稿日時 - 2008-08-25 01:19:16

お礼

wamos101さん再度回答いただきましてありがとうございます。

Process Explorer便利ですね。使ってみますね。

ANo.4のryu-fizさんへのお礼でも書きましたが削除しても復活するレジストリは初めの質問したときの3つ以外にも「tdss」と言う文字が含まれるフォルダ2つに関しても同じでした。

もし何かまたアドバイスがありましたらよろしくお願い致します。

投稿日時 - 2008-08-25 16:16:41

ANo.1

こんにちは。

私はクラッカーコミュティーの潜入調査や対策ソフトの多角的性能テストなどをしております。

まあ、私はSpyBotを使ってるわけではないのでえらそうなことは言えませんが、要はSpyBotのスキャンで当該Malwareがセットするそれらのエントリが見つからないので「エントリがねーよ」と言ってるだけなのでは?

詳細に調べたわけじゃないのであれですが、

loader.exe、ntos.exe
video.dll、audio.dll

この辺が走ってなければとりあえずはいいんじゃないですかね。これ以外の該当するオブジェクトがあるのかどうかは知りません。

あと、私がアドバイスできるとしたら、バックドアなんでCurrPortsなどを使って通信のモニタリングをしてみて不審な通信が行われてないかどうか調べるとか。

投稿日時 - 2008-08-24 23:08:53

お礼

wamos101さんこんばんは。

回答頂きましてありがとうございます。
早速教えていただいたCurrPortsを使って調べてみましたが危険そうなプログラムは実行されていないと思います。

ちなみに実行されていたのは
alg.exe
ashMailSv.exe avast!
ashWebSv.exe avast!
iexplore.exe
lsass.exe
svchost.exe
その他はシステムと不明でよく分かりませんでした。
不明に関しては全て「状態」が待ち時間になっております。

loader.exe、ntos.exeに関しましてはタスクマネージャのアプリケーションでもプロセスでも実行はされていない様ですが他に確認の方法はあるのでしょうか?

video.dll、audio.dllに関してはどうやったらこれらが実行されているのか確認の方法が分かりません。
よろしければ教えていただけますか?

ちなみに該当するレジストリ3つを削除してみましたが再起動後はやはりSpybotで検出されました。
何とか削除したままの状態を保つ方法はないでしょうか?

度々済みませんがよろしくお願い致します。

投稿日時 - 2008-08-25 00:41:45

あなたにオススメの質問