| 投稿者 | タロウ | どんなウィルスですか? 昨日からantivirの常駐が これを検出しっぱなしなんですが、 ちょっと症状が気になるので、 わかるひと教えてください。 タイトルのとおり検出されるのは TR/Agent.imhというやつでTrojanってでてきたので、 トロイの木馬だと思ったのですが、 ちょっと普通のウィルスと違う感じなので。 特徴 ・常駐で検出が一気に12~16位検出される(全て同じファイル) ・それらを全て消すとまたすぐに12~16位検出される ・感染しているファイルがCドライブのWINDOWS内のpaym.iohというファイルだが、普通には削除できない ・セーフモード、もしくはantiviの常駐を解除すると削除できる(antiviの常駐を開始するとファイルが復活する) ・フリーのAVGを導入してスキャンしたが検出されない という特徴なのですが、本当にこれはウィルス(トロイの木馬)なのでしょうか。 もしくは誤検出してるだけとかですかね。 また、もしウィルスだとすれば、完全に削除する方法はあるのでしょうか。 誰かわかる方、よろしくお願いします |
| 投稿日 | 09/06/18 20:00 |
| 投稿者 | maru | AVGでは検出できない、という辺りがちょっと気になりますが、TR/Agent.imhの駆除にはレジストリの編集が必要なようです。 http://forum.avira.com/wbb/index.php?page=Thread&postID=783536#post783536 次の手順でレジストリをチェックします。 (1)"C:\Windows\regedit.exe"をコピーし、コピーしたものを"copy.exe"という名前に変更 (2)"copy.exe"を実行し、"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"へ移動 (3)"データ"の値が"...\paym.ioh"となっているエントリがあれば、それを削除 (4)Windowsを再起動し、問題の"paym.ioh"を削除(隠しファイルになっているかもしれません) (5)システムをスキャン これで大丈夫だと思います。 参考:http://www.security-forums.com/viewtopic.php?p=298335#298553 よく分からない場合は(2)まで実行した後、 (3)ツリーの"Drivers32"の上で右クリックした後表示されるメニューで"エキスポート"を選択 (4)"Drivers32.reg"という名前で保存 (5)保存したファイルのファイル名を"Drivers32.txt"に変更 まで出来たら、Drivers32.txtの内容をここに投稿してください。 |
| 投稿日 | 09/06/18 21:43 | |
| 投稿者 | maru | 英語ですが、スクリーンショットが載っているこちらのページも参考に。 http://forum.avira.com/wbb/index.php?page=Thread&threadID=90274 |
| 投稿日 | 09/06/18 21:49 | |
| 投稿者 | タロウ | maruさん ご丁寧に教えてもらいましてありがとうございました。 初心者の自分にもわかりやすく、 なんとかうまく駆除できたようです。 レジストリのデータが"...\paym.ioh"になっている 値が1つだけありましたので削除、 再起動後に問題のpaym.iohも削除でき、 現在システムスキャン中ですが、 特に問題なさそうです。 ところで削除したレジストリの値ですが、 特に削除しても影響ないものだったんでしょうかね? レジストリキーがどういう仕組みかわからないもので |
| 投稿日 | 09/06/18 23:34 | |
| 投稿者 | maru | 問題の"...\paym.ioh"というレジストリエントリがあった場所("HKLM\SOFTWARE\...\Drivers32")は本来、Windowsが読み込むドライバを指定する場所です。 ここで指定されたファイルはWindowsによって読み込まれるため(=ウイルスの実体がWindowsによって起動時に読み込まれていた)、通常通り起動したWindowsでは削除できなかったものと思われます。 今回削除したエントリは本来存在しないもの(してはいけないもの)だったので、削除しても問題ありません。 |
| 投稿日 | 09/06/19 22:41 | |
| 投稿者 | タロウ | maruさん ご親切にありがとうございました |
| 投稿日 | 09/06/20 11:47 | |