ウィルスかな?と思い質問です。


【状況】
最近PC(win2000pro)が突然固まったり、ブルーバックが増えた。これまでにない状態。タスクスケジューラに、勝手に以下のタスクが追加されていたことに先程気づいた。


【不審なタスク】

タスク名
c:\winnt\tasks\at25.jp
※26個のタスクが登録されており、1つ1つ25の箇所の数字が違う。

コメント
NetScheduleJobAdd

実行するファイル名
NT AUTORITY\SYSTEM

スケジュール
毎週日曜18時

とりあえずこのウィルスかなというURL(中国語)
http://vi.duba.net/virus/win32-troj-autorun-mq-226304-50324.html
中国語分かりませんが書いてあるのがズバリ%windir%\Tasks\At2.jobとかなので
あやしいと睨んでおります。

【対応】
ウィルスソフトはカスペルスキー。DBはこまめに自動アップデートされており今も走らせてるいるが検知してくれない。問い合わせしようにも営業時間外。

困っております。
他のウィルスソフト入れたほうがいいんでしょうかね?

回答の条件
  • 1人2回まで
  • 登録:2008/10/07 21:38:00
  • 終了:2008/10/14 21:40:02

回答(3件)

id:aki1960 No.1

aki1960回答回数256ベストアンサー獲得回数82008/10/07 22:37:06

ポイント27pt

ここに日本語の情報がありますが、これでしょうかね?

http://www.avira.com/jp/threats/section/fulldetails/id_vir/2230/...

id:freewriter

ありがとうございます!

2008/10/10 05:23:04
id:naruenosekai No.2

naruenosekai回答回数140ベストアンサー獲得回数122008/10/08 00:22:18

ポイント27pt

ウイルスの亜種なのでしょう。

Windowsを起動すると、一緒に起動して削除できなくなりますので

CDブートのlinuxなどを使って削除するといいでしょう。

また他社のオンラインスキャンでスキャンしてみるのはどうでしょう。

http://lhsp.s206.xrea.com/misc/onlinescan.html

id:freewriter

ありがとうございます!

2008/10/10 05:23:09
id:kaiton No.3

kaiton回答回数260ベストアンサー獲得回数342008/10/08 12:01:38

ポイント26pt

質問中の>実行するファイル名 NT AUTORITY\SYSTEM

は実行するアカウントではないですか? 確認してみて下さい。


実行されている怪しいファイルを特定し、↓に送ってみてはどうでしょうか?

http://www.virustotal.com/jp/

36社のウイルス対策ソフトで解析してくれます。

 #コメントに書いた後にソフト数が増えていることに気付きました m(__)m

そして、ウイルスを特定して駆除するしかないと思います。


http://www.atmarkit.co.jp/fwin2k/win2ktips/582schtasks/schtasks....

「at.exeコマンドで作成されたタスク。名前が「At~」となっている。」とかかれているので

ATコマンドで追加されたタスクの可能性があります。

(Tasksフォルダの後ろの拡張子.jpとあるので、確証ではないです。)

id:freewriter

ありがとうございます。

あのあとカスペルスキーの運営会社(ジャストシステム)に連絡がつき

「完全スキャンをすれば大丈夫です、念のためログを送ってください」とのことで。。

いま調査待ちの段階です。またご報告します。

2008/10/10 05:22:56
  • id:freewriter
    ちなみに、この書き込みはノートPC(ダイヤルアップ)から書いてます。
    問題のPCはケーブルを抜いた状態。同じLAN環境の他PCには同様の現象は起こっていません。
  • id:kimudon
    あやふやなコメントで失礼します。
    freewriterさんが提示したURLより抜粋して検索してみました。
    http://www.google.co.jp/search?q=Autorun.mq&num=100&hl=ja&lr=lang_ja&c2coff=1&filter=0

    NOD32の定義ファイル3088中の「Autorun.mq」が該当すると思われます。
    http://canon-its.jp/product/eset/virusupd/vupd_page21.html

    NOD32の体験版がありますので試してみたら如何でしょうか。
    http://canon-its.jp/product/eset/trial_eav.html
  • id:kaiton
    質問中の>実行するファイル名 NT AUTORITY\SYSTEM
    は実行するアカウントでは?

    実行されている怪しいファイルを、↓に送ってみては?
    http://www.virustotal.com/jp/
    32社のウイルス対策ソフトで解析してくれます。
  • id:kaiton
    http://www.atmarkit.co.jp/fwin2k/win2ktips/582schtasks/schtasks.html
    「at.exeコマンドで作成されたタスク。名前が「At~」となっている。」とかかれているので
    ATコマンドで追加されたタスクの可能性があります。
    (Tasksフォルダの後ろの拡張子.jpは通常エクスプローラとかでは確認できないのですが)

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません