ページ

2011年5月19日木曜日

要望に応えて?少し詳細を。 winweng.exe Trojan/Backdoor トロイの木馬 の 削除

要望に応えて?少し詳細を
winweng.exe Lins.log winpingying.ime Trojan/Backdoor トロイの木馬 の 削除

★まず、タスクマネージャーを起動します。
 → タスクバーを右クリック、「タスクマネージャの起動」を選択

プロセスタブを開き
・CPU使用率の高いプロセスがないか?
・見覚えのないプロセスがないか?

うちが対応したPCの場合はCMD.exeがフル稼働でしたので、これを終了させます。

普通はCMDは動いていないはずなので「CMD.exe」はすべて終了させて構わないでしょう。
※うちが対応したのはバッチファイルを実行していて、バッチファイルの内容は常にwinweng.exeを書き換えるといったものでした。

winweng.exe は プロセスに載っていないと思いますが、あれば終了させます。



★次に復元機能を無効化します
XPの場合 「コントロールパネル」 → 「システム」 → 「システムの復元タブ」
 すべてのディスクの復元機能を無効にする にチェックし、「適用」をクリック
Vista以降 「コントロールパネル」 → 「システム」 → 「システムの詳細設定」 → 「システムの保護タブ」
 「(システム)」となっているディスクを選択し、構成ボタンをクリック、「システムの保護を無効にする」を選択し、「適用」をクリック



★次に元凶であったバッチファイルを削除。
 %TEMP%\DEL*.BAT

・手段1:
Explorer の アドレスバーに %TEMP% を入力し、Enterキーを押すと 該当のフォルダが表示されます。
 XPの場合 C:\Documents and Settings\ユーザー名\Local Settings\Temp
 Vista以降は C:\Users\ユーザー名\AppData\Local\Temp

ここに、ファイル名が 「DEL」で始まるバッチファイルがあれば削除します。
「DEL????.BAT」 (?は数字です。)

・手段2:
ファイル名を指定して実行 から「CMD」を実行し
CD %TEMP%
DEL DEL*.BAT

を実行



★次に起動処理の削除
レジストリエディタを起動します。※レジストリエディタの使用は自己責任です。
 → ファイル名を指定して実行 から「regedit」を実行。

左ペインに表示されるツリーから
HKEY_CURRENT_USER → Software → Microsoft → Windows → CurrentVersion → Run
と辿ります。

値に 「C:\WINDOWS\system\winweng.exe」の文字列が入っているキーを削除します。
 → うちの場合は(規定)に入っていました。

念のため、左ペインに表示されるツリーから
HKEY_LOCAL_MACHINE → Software → Microsoft → Windows → CurrentVersion → Run
と辿って 同じように winweng.exe を含むキーがあれば削除しましょう。



★関連ファイルの削除

ファイル名を指定して実行 から「CMD」を実行し
attrib -r -h -s C:\WINDOWS\system\winweng.exe
del C:\WINDOWS\system\winweng.exe
attrib -r -h -s C:\WINDOWS\system\lins.log
del C:\WINDOWS\system\lins.log
attrib -r -h -s C:\WINDOWS\system\winpingying.ime
del C:\WINDOWS\system\winpingying.ime
attrib -r -h -s C:\WINDOWS\system32\NateOnMainA.dll
del C:\WINDOWS\system32\NateOnMainA.dll

を実行



★最後にログオフ、ログインを行い、winweng.exeが復活していないか確認しましょう。
ファイルが復活していれば上記作業を繰り返してみる。



★問題が無ければ無効にした復元機能を有効化します
XPの場合 「コントロールパネル」 → 「システム」 → 「システムの復元タブ」
 すべてのディスクの復元機能を無効にする からチェックを外す、「適用」をクリック

Vista以降 「コントロールパネル」 → 「システム」 → 「システムの詳細設定」 → 「システムの保護タブ」
「(システム)」となっているディスクを選択し、構成ボタンをクリック、
「システム設定とファイルの以前のバージョンを復元する」を選択し、「適用」をクリック

解析する前に解決してしまったので、winpingying.ime が どのプロセスで使用されていたのかが不明です。
あたりを付けるならRunDLLだと思いますが、もし判れば教えてくださいな。

0 件のコメント:

コメントを投稿