web-dev-qa-db-ja.com

マルウェアによって設定されたレジストリエントリを表示/削除できません

奇妙な文字のレジストリエントリがあります:

"C:\Program Files (x86)\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\   \...\‮ﯹ๛\{a33ad396-dacb-512c-46ab-10675be7c6b5}\GoogleUpdate.exe" <

"C:\Users\Bart\AppData\Local\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\dxÙ\" h\.ù[\{a33ad396-dacb-512c-46ab-10675be7c6b5}\GoogleUpdate.exe" >

C:\Users\Bart\AppData\Local\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\❤≸⋙\Ⱒ☠⍨\‮ﯹ๛\{a33ad396-dacb-512c-46ab-10675be7c6b5}\L

それはすべてこれらの2つのキャラクターについてです:ﯹ๛

(これをメモ帳にコピーして、何が起こるかを確認してください)

その文字の後ろに入力するものはすべて、右から左に移動します。

Regeditはこの値を読み取ることができず、次のエラーが発生します:error reading the value's contentsRunサブキーを開いたとき。そのため、このエントリを完全に削除することはできません。

私はそれがZeroAccessマルウェアであるとほぼ確信しています。

何が起きてる?

windowswindows-8windows-registrymalwareunicode
5
ZxCvBnM

Reg_none値があるため、変更できません。ハイブをロードしてそこから削除するには、ネイティブレジストリエディタが必要になります。ただし、実行キー全体を削除することはできますが、問題はありません。このルートキットに関する詳細については、こちらをご覧ください http://www.virusresearch.org/zeroaccess-botnet-crippled-but-not-dead/

1
Dave

どのMarlwareであるかはわかりませんが、RegAssassinを使用すると、レジストリキーを削除できるはずです。

http://www.malwarebytes.org/products/regassassin/

ウイルス自体については、カスペルスキーインターネットセキュリティトライアル(私のお気に入りで最も強力なAVソフトウェアの1つ)をインストールしてスキャンを実行します。

0
code_flow

Kasperskyには、ZeroAccessルートキット削除を含むTDSSKillerと呼ばれる無料のルートキットリムーバーツールがあります(これは、Google/Desktop/Installの下の署名Unicode逆アルファベットフォルダーでわかります)。

http://support.kaspersky.com/us/535

また、 http://www.GMER.net ツールを使用すると、これらのレジストリエントリを削除できます。

0
Syclone0044