id:freewriter
ポイントあり80pt回答受付終了
コンピュータインターネット

ウィルスかな?と思い質問です。


【状況】
最近PC(win2000pro)が突然固まったり、ブルーバックが増えた。これまでにない状態。タスクスケジューラに、勝手に以下のタスクが追加されていたことに先程気づいた。


【不審なタスク】

タスク名
c:\winnt\tasks\at25.jp
※26個のタスクが登録されており、1つ1つ25の箇所の数字が違う。

コメント
NetScheduleJobAdd

実行するファイル名
NT AUTORITY\SYSTEM

スケジュール
毎週日曜18時

とりあえずこのウィルスかなというURL(中国語)
http://vi.duba.net/virus/win32-troj-autorun-mq-226304-50324.html
中国語分かりませんが書いてあるのがズバリ%windir%\Tasks\At2.jobとかなので
あやしいと睨んでおります。

【対応】
ウィルスソフトはカスペルスキー。DBはこまめに自動アップデートされており今も走らせてるいるが検知してくれない。問い合わせしようにも営業時間外。

困っております。
他のウィルスソフト入れたほうがいいんでしょうかね?

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2008/10/14 21:40:02
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答3件)

id:aki1960 No.1

回答回数256ベストアンサー獲得回数8

ポイント27pt

ここに日本語の情報がありますが、これでしょうかね?

http://www.avira.com/jp/threats/section/fulldetails/id_vir/2230/...

id:freewriter

ありがとうございます!

2008/10/10 05:23:04
id:naruenosekai No.2

回答回数140ベストアンサー獲得回数12

ポイント27pt

ウイルスの亜種なのでしょう。

Windowsを起動すると、一緒に起動して削除できなくなりますので

CDブートのlinuxなどを使って削除するといいでしょう。

また他社のオンラインスキャンでスキャンしてみるのはどうでしょう。

http://lhsp.s206.xrea.com/misc/onlinescan.html

id:freewriter

ありがとうございます!

2008/10/10 05:23:09
id:kaiton No.3

回答回数260ベストアンサー獲得回数34

ポイント26pt

質問中の>実行するファイル名 NT AUTORITY\SYSTEM

は実行するアカウントではないですか? 確認してみて下さい。


実行されている怪しいファイルを特定し、↓に送ってみてはどうでしょうか?

http://www.virustotal.com/jp/

36社のウイルス対策ソフトで解析してくれます。

 #コメントに書いた後にソフト数が増えていることに気付きました m(__)m

そして、ウイルスを特定して駆除するしかないと思います。


http://www.atmarkit.co.jp/fwin2k/win2ktips/582schtasks/schtasks....

「at.exeコマンドで作成されたタスク。名前が「At~」となっている。」とかかれているので

ATコマンドで追加されたタスクの可能性があります。

(Tasksフォルダの後ろの拡張子.jpとあるので、確証ではないです。)

id:freewriter

ありがとうございます。

あのあとカスペルスキーの運営会社(ジャストシステム)に連絡がつき

「完全スキャンをすれば大丈夫です、念のためログを送ってください」とのことで。。

いま調査待ちの段階です。またご報告します。

2008/10/10 05:22:56

コメント(4件)

  • id:freewriter
    にらたま 2008/10/07 21:39:03
    ちなみに、この書き込みはノートPC(ダイヤルアップ)から書いてます。
    問題のPCはケーブルを抜いた状態。同じLAN環境の他PCには同様の現象は起こっていません。
  • id:kimudon
    kimudon 2008/10/07 22:22:58
    あやふやなコメントで失礼します。
    freewriterさんが提示したURLより抜粋して検索してみました。
    http://www.google.co.jp/search?q=Autorun.mq&num=100&hl=ja&lr=lang_ja&c2coff=1&filter=0

    NOD32の定義ファイル3088中の「Autorun.mq」が該当すると思われます。
    http://canon-its.jp/product/eset/virusupd/vupd_page21.html

    NOD32の体験版がありますので試してみたら如何でしょうか。
    http://canon-its.jp/product/eset/trial_eav.html
  • id:kaiton
    kaiton 2008/10/08 10:39:12
    質問中の>実行するファイル名 NT AUTORITY\SYSTEM
    は実行するアカウントでは?

    実行されている怪しいファイルを、↓に送ってみては?
    http://www.virustotal.com/jp/
    32社のウイルス対策ソフトで解析してくれます。
  • id:kaiton
    kaiton 2008/10/08 10:55:36
    http://www.atmarkit.co.jp/fwin2k/win2ktips/582schtasks/schtasks.html
    「at.exeコマンドで作成されたタスク。名前が「At~」となっている。」とかかれているので
    ATコマンドで追加されたタスクの可能性があります。
    (Tasksフォルダの後ろの拡張子.jpは通常エクスプローラとかでは確認できないのですが)

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ