system
1
はじめまして。avast!を普段から愛用させて頂いております。
表題の「nt32.exe」なるトロイの木馬に感染したようで、avast!でも検知できず困っております。
宜しければお力をお貸し下さい。
PC環境:windows7-pro 64bit
症状:本日PCを使っていたところ突然システムモニタのCPU負荷率が跳ね上がり、100%を指すようになりました。
それ自体は一過性のものですが、放置していると再びCPUの負荷率が一時的に跳ね上がる、という事が度々起こるようになりました。
タスクマネージャーを起動して負荷をかけているプロセスを確認してみたところ、CPUを使用しているのは「cvtres.exe」
だとわかりましたが、ネットで検索してみたところこれ自体は問題のあるプロセスでは無いと分かりました。
そこで他に怪しいものが無いか確認してみたところ、見覚えのない「nt32.exe」なるプロセスを発見し、プロセスの終了を試みましたが
「アクセスが拒否されました」とメッセージが表示され、終了できませんでした。
「nt32.exe」でネット検索してみたところ、海外のデータベース等で新種のトロイの木馬であるらしいということまでは分かったのですが、
avast!でも検知できず、症例もまだ少ないようで解決方法はわかりませんでした。
またTwitter等で情報収集してみたところ、修復方法としてシステムの復元を封じるらしく、私の環境でもシステムの復元が起動できなくなっておりました。
同じくTwitterの情報を頼りに、msconfigからスタートアップを確認してみたところ、
「NT kernel service」の名前で製造元が不明な物が存在し、
コマンド:「C:¥NTkernel¥nt32.exe -rundll32 /SYSTEM32 “C¥Windows¥System32¥taskmgr.exe” “C:¥Program Files¥Microsoft¥Windows”」
場所:「HKLM¥SOFTWARE¥Wow6432Node¥Microsoft¥Windows¥CurrentVersion¥Run」
という不審なものを発見しました。(他に製造元不明のUpdate.Microsoft.comなる項目もありました。)
今後avast!で対応されるかも知れませんが、現状日本語での情報が少なく、また私の知識では解決できないため不安に思っています。
解決方法、同じ症例が出ている方等、情報お待ちしております。
長文失礼しました。よろしくお願いいたします。
NON
2
こんばんは sinsin さん
某巨大掲示板でもnt32.exeの報告がありました。cvtres.exeがCPUを食いつぶしているという報告もちらほら見かけますね。
対応しているかどうかは分かりませんが、別なソフトでのスキャンを試みてみましょう。
■Malwarebytes Anti-Malware
多くのマルウェアの駆除に使われるソフトです。
http://www.malwarebytes.org/mwb-download/
を開くと自動的にダウンロードが始まります。
インストール後、フルスキャンを行い、見つかったエントリにチェックを入れて「選択したアイテムを隔離」を押すと、駆除ができます。
system
3
NONさん、素早い返信ありがとうございます。大変助かります。
早速ご紹介されたMalwarebytes Anti-Malwareをインストールしてみたのですが
起動しようとしても立ち上がらない、という状況です。タスクマネージャーを監視してみると
先ほどまで無かった「315load32.exe」なるプロセスが動いている模様です。(これもTwitterの情報から今回の件に関連したものと思われます)
どうやら削除ツールの起動を阻害するようになっているらしいです。
また、海外のサイトで解決法として挙げられていた(当方英語不得意のため、あくまでそれらしきものですが)UnHackMeという削除ツールを
ダウンロードし、こちらは起動は出来たのですがnt32.exeを検出することが出来ないようです。
取り急ぎ報告させていただきました。勝手なようで大変ご面倒おかけしますが
もし宜しければ引き続き情報お待ちしております。
system
4
取り急ぎ追記させていただきます。
何度も失礼します。先ほど申し上げたUnHackMeでどうやらnt32.exeと315load32.exeを検知できたらしく
そちらから該当のマルウェアの削除を実行してみました。
その後再起動し、ご指摘のMalwarebytes Anti-Malwareの起動を試してみたところ正常に起動しました。
また、msconfigよりスタートアップを確認したところ先ほどの「NT kernel service」は消えていました。
しかしながら、タスクマネージャ上に「nt32.exe」は依然として存在しており
起動できたMalwarebytes Anti-Malwareのスキャンで発見されたマルウェアの隔離を実行したところ
「アクセスが拒否されました」と表示される現状となっております。
system
5
本当に何度も失礼します。本来ならばもっとまとめて報告すべきなのですが
現在試行錯誤しながら問題解決に当たっているため、このような随時報告になってしまうこと何分ご容赦下さい。
先ほどMalwarebytes Anti-Malwareでスキャンし隔離を実行したところメモ帳が開き「アクセスが拒否されました」
とエラーが出たのですが、とりあえずそのまま再起動をしたところ、該当の「nt32.exe」がタスクマネージャに現れなくなりました。
とりあえず当初の「nt32.exe」が消せない問題を解決できたように思います。
ただ、タスクマネージャの「winlogon.exe」が少し怪しいように感じたり、
スタートアップの一部のソフト(DropBoxやエバーノート)の製造元が「不明」になりコマンドが文字化けしている、
スタートアップに依然としてUPDATE.MICROSOFT.COM.URLが存在しチェックを外すことが出来ない。
等、不審な点が残っています…。
思い当たる点等ございましたら引き続きご助言を宜しくお願いいたします。
system
6
お世話になっています。とりあえず現状認識できる問題は解決でき、
Malwarebytesのスキャンでもマルウェア検知無しの状態まで回復することが出来ましたこと報告させていただきます。
某掲示板で同じ症例が出ている方とそれに対する助言を参考にさせて頂きつつ
・スタートアップフォルダ内の書き換えられたショートカット類をアクセス許可を設定して削除
・Cドライブ下の隠しフォルダに存在する「load32,nt32」関係と思われるファイルの削除
・レジストリエディタで「load32,nt32」を検索しヒットした値の削除(メニューのアクセス許可より設定後)
以上を行ってからスキャン→マルウェア検知無し
その後PCの再起動を行いもう一度スキャン→マルウェア検知無し
という状況まで回復することが出来ました。
勿論まだ気が抜けず今後も注視していくつもりですが、当座の問題は解決できたように感じます。
どうやらavastの脆弱性をついたマルウェアらしく同じような症状の方の参考になればと思います。
この度は大変お世話になりました。何かあればまた報告させて頂きます。
NON
7
何とか直ったようですね。
脆弱性と言うよりは、単に対応していなかっただけということだと思います。
どのセキュリティソフトを使っていてもありうる話なので、運が悪かったとしか・・・。
今後はお気を付けください。AdobeやJavaなど、各種ソフトウェアのアップデートは忘れずに。