- 締切済み
VBS_REDLOF.Aについて
こんにちは! 実はウィルスに感染したみたいなんですけどどうしたらよいのか分らないのでおしえてください! WindowsXPを使っています。 そしてファイルの検索で「REGEDIT」って入力までしたのですがそれからどうしたらよいのかわかりません。 あと「kernel」と検索をしたら「KERNEL32」「KERNEL32.dll」「KERNEL32.class」というファイルがみつかりました。 これは削除した方がよいのでしょうか? なんか「Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリ値を削除。 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 値:Kernel32="<Windowsシステムディレクトリ>\Kernel.dll"」 とかかいてあるのですがやり方がわかりません。 どなたか教えてください。 よろしくお願いいたします。
- alice-k
- お礼率23% (7/30)
- ウィルス・マルウェア
- 回答数7
- ありがとう数0
- みんなの回答 (7)
- 専門家の回答
みんなの回答
お詫びと訂正です。 No.4の私の下段の記述は、OSがWindowsXPですから、以下のように訂正いたします。 上記の操作を行ったあとで、 C:\Windows\system32\kernel.dll が存在するとすれば、不審です。 上記の操作を行ったあとで、 C:\Windows\system32\kernel32.dll が存在しているのは、正常です。 大変申し訳ありませんでした。 ----- No.6にて > 「folder.htt」は「駆除」作業によって「削除」される恐れもある とご指摘いただきました件ですが、ご紹介された過去ログ、TREND MICRO社のページ、および、Symantec社のページを、注意深く拝見いたしましたが、誠に申し訳ございませんが、事実確認がとれませんでした。また、 > ウイルス名だけを検索対象にしてヒットしたファイルを削除し、あとはレジストリの記述だけでウィルスの活動を殺せる といった情報も、残念ながら、得ることができませんでした。
- Hageoyadi
- ベストアンサー率40% (3145/7860)
#1のhageoyadiです。 私の説明不足でした。 #5のかたの >「駆除」してください。 >という記述を誤解されているのだと思われます。 ご指摘ありがとうございます。誤解はしてないつもりだったんです。今回のウィルスは既存の「Kernel32.dll」を上書きするほか、システムファイルの「folder.htt」を改変(とは言わないかな?)しますよね?で、ご質問者がご覧になったページでの説明を読む限り、「folder.htt」は「駆除」作業によって「削除」される恐れもあるようです。削除されるとフォルダのweb表示ができないそうなので、それを避けるためにも、ウイルス名だけを検索対象にしてヒットしたファイルを削除し、あとはレジストリの記述だけでウィルスの活動を殺せる、と踏んだからなのですが・・・。 ソースは http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=8018 の過去ログです。よろしかったら探してみてください。
回答No.1の4.の対処が誤っています。おそらく、 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_REDLOF.A の 「3)再起動後、ウイルス検索を行って「VBS_REDLOF.A」で検知したファイルを全て「駆除」してください。」 という記述を誤解されているのだと思われます。 上の記述は、「ウイルス駆除ソフトを用いて、VBS_REDLOF.Aを検出してください。検出されたら、その場で駆除してください。」という意味です。
>ウィルスバスターオンラインスキャンで無料ウィルス駆除ツールってところで2個のウィルスが見つかりましたってでてきたのでそこで削除した ウィルスバスターオンラインスキャンによって確実に感染ファイルが削除されたものいたしますと、以降の手順を推奨いたします。 1. レジストリのバックアップを行う Hageoyadiさんの推奨する「scanregw」を使う方法を私は存じませんが、「scanreg」を使う方法は、Windows98でのみ可能です。私は、通常の方法をおすすめいたします。下記の手順1を行ってください。 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020308022342953 2. ウイルスによって改変されたレジストリを修復する 下記「ウイルスによってレジストリに行われた変更を元に戻すには:」をご覧いただき、慎重に操作を行ってください。 http://www.symantec.com/region/jp/sarcj/data/h/html.redlof.a.html#removalinstructions 3. 残存感染ファイルをチェックする 下記「感染していた場合の対処:(3)」の操作を行ってください。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_REDLOF.A 4. ウイルスによって破壊されたファイルを修復する 不幸にもウイルスに感染したため、削除したファイルを、ウイルス感染していないバックアップからコピーし、復元します。バックアップがない場合は、残念ながら、復旧できません。 5. ウイルス感染対策を施す ウイルス感染対策ソフトを導入してください。 ---------- >ファイルを探すところで「kernel」と入力すると「kernel32」とかが4個でてきました。 >これは・・・どっかおかしいのでしょうか 上記の操作を行ったあとで、 C:\WINNT\system32\kernel.dll が存在するとすれば、不審です。 上記の操作を行ったあとで、 C:\WINNT\system32\kernel32.dll が存在しているのは、正常です。 いずれにせよ、現段階で「kernel」と検索しても、あまり意味はないと思います。 ------ ※上記はすべて、OSが、WindowsXPであることを前提としており、かつ、alice-kさんの現状をもとに、私がおすすめする方法です。ほかのかたは、下記参考URLをご覧になり、参考にしてください。
- Hageoyadi
- ベストアンサー率40% (3145/7860)
>何も見つかりませんってでてきました >「regedit」と検索すると いやいや、「検索(F)」ではなく、「ファイル名を指定して実行(R)」です。 大丈夫、きっとできます。
あわてて、むやみにシステムファイルの削除をしたり、レジストリの変更をしたりせず、落ち着いて状況を把握しましょう。 >実はウィルスに感染したみたい 1. あやふやなので、まず、本当に感染したのか、確認します。ウイルス駆除ソフトのパターン定義を最新版にして、システム全体をスキャンしてください。何も検出されなければ、大丈夫ですので、ここで終了です。本当にウイルスがいたら、駆除してください。 2. ウイルスが行った破壊活動を修復します。レジストリという、OSにとってきわめて重要なデータを操作するので、必ずレジストリのバックアップを行ってください。方法は下記をご覧ください。 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020308022342953 3. ウイルス感染により削除したシステムファイル、および、ウイルスによって変更されたレジストリを元に戻します。方法は下記をご覧ください。 http://www.symantec.com/region/jp/sarcj/data/h/html.redlof.a.html#removalinstructions ※なお、文中のHTML.Redlof.Aは、VBS_REDLOF.Aのことです(別名です)。同じ物を指します。 ※くれぐれも、操作は慎重に行ってください。
- Hageoyadi
- ベストアンサー率40% (3145/7860)
えーと http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_REDLOF.A をご覧になったのですよね? レジストリのバックアップを念の為。 1.Windowsのスタートボタン → 「ファイル名を指定して実行」 入力欄に「scanregw」と入力し、OKを押す。 「バックアップデータを作りますか?」と尋ねるダイアログが表示されれば、「はい」を押す。 これでバックアップ完了です。 2.レジストリエディタの起動。 ウイルスを削除するために起動します。 起動方法は、Windowsのスタートボタン → 「ファイル名を指定して実行」 入力欄に「regedit」と入力し、OKを押す。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Runと順に進み、 (ちょうどWindowsのエクスプローラのような構造になってます) 右のウィンドウの「kernel32」を選択し、右クリック。 削除を選択し、削除完了。 3.再起動。 4.Windowsのスタートメニュー → 検索 → ファイルやフォルダ。 入力欄に「VBS_REDLOF.A」と入力。 ファイルを検索。 私の場合は検索されなかったので、何もせず終了。 ここでこのファイルが見つかった場合は、全て削除が必要なようです。 5.自分のパソコンに保存しているHTMLデータを修正。 感染しているHTMLを表示すると、また感染するので、メモ帳を起動し、その後HTMLを表示。 1つ1つ全てのHTMLファイルからウイルスのしわざの変なHTMLを削除しました。 こいつはものすごい根気を要します。イヤならクリーンインストールのほうが手っ取り早いかも。 全てが終わるまで感染したHTMLは表示しないようにしましょう。 6.駆除完了。 こんな流れですが、よろしいでしょうか?
補足
丁寧にありがとうございます。 それでですね、1の操作をして「scanregw」と入力すると何も見つかりませんってでてきました。 その後、「regedit」と検索するとHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Runとはでてこないで灰色のファイルのような形で「.dll」って英語でかかれた拡張子のようなものがたくさんでてきます。 これは・・・どうしたらよいのでしょうか(泣)
関連するQ&A
- VBS_FREELINKに感染しました。
VBS_FREELINKに感染しました。 トレンドマイクロ社のページで削除方法が以下のように書かれていましたが、(2)の「Rundll.vbsを削除する」がよくわかりません。 まったくの素人でレジストリをいじるのも初めてなので、破壊するかもしれないとの恐怖もあります。 どうかひとつよろしくお願いします。 ■手動削除手順 ----------------------------------- (1)Windowsメニューから「ファイル名を指定して実行」を選び、regeditと入力して、レジストリエディタを表示する。 (2)以下のレジストリエントリの値:Rundll データ:Rundll.vbsを削除する。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run (3)\Windows\System ディレクトリの「RUNDLL.vbs」「LINKS.VBS」を削除する。
- ベストアンサー
- ウィルス・マルウェア
- VBS_REDLOFに感染した筈?
VBS_REDLOFに感染してしまったようです。 いつどのサイト(メール)で感染したのか判明できていないのですが、それを判定する方法はあるのでしょうか? それと、駆除の仕方がまだよくわからなくいろいろ探している状態ですが、よく、 『レジストリ値を開いて最後のRunを開くと、右にRunの中に入っているファイルみたいなの(レジストリ値というらしい)が出てきます。 その中に【Kernel32】または【Kernel.dll】というのがあったら感染の可能性あり。』 とあるのですが、私の場合はないのです。 トレンドマイクロのサイトで、4つほど、このレジストリ値を削除せよと書かれているのですが、どれも見当たらないのです。ということは感染していない...?筈はないんです。 同トレンドマイクロのオンラインスキャンでやってみたら見事に感染しているとでます。この場合、kernel.dllがあるのはWINDOWS/SYSTEMファイルです。 また、folder.httも感染しているとでます。 ということは感染しているということですよね。 一体どういうわけなのでしょうか? よろしくおねがいします。
- ベストアンサー
- ウィルス・マルウェア
- REDLOF.Aに感染したかとレジストリを確認したのですが…
昨日、あるサイトに行ったとき、ウイルスを発見しましたとウイルスバスターが警告を出してきて、直ぐに緊急ロック、ウイルス、駆除できませんとのことで隔離しました。 すべてのファイルを手動で検索して、REDOLOF.Aを削除。ウイルスのログを見てみますと、駆除成功と出ています。 OSはWin98で、最低でも一週間に一回はWindows Updateにチェックに行っておりましたので大丈夫かとは思いましたが、こちらに伺って過去の質問を調べさせていただきました。いろいろな情報を教えてくださっていましたので、色々なサイトに伺ってやれるだけやってみました。 「スタート」→「検索」→「ファイルやフォルダ」でBlank.htmを探してみたところ、二つ見つかって、これも削除。 そのあとレジストリから HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run のところに “kernel32”または”Kernel.dll”を探しに行きましたら、ありませんでした。なのですが……。 run というフォルダと、RUN- という“-” がついたフォルダがあるのですが、これは何なのでしょう? ちなみに中には REALJUKEBOX ともう一つ REALから始まるのが入っているのですが、これは気にすることないのでしょうか? ウイルスを発見しましたという警告、出るたびにビクビクしてます。この警告 = 感染した、というワケではないのでしょうか? REDOLOF.Aも駆除成功と出ているので、大丈夫だと思っていいのですよね…? それと、怖ろしかったので直ぐに、発見したREDOLOF.AとBlank.htmを何も考えずに削除してしまったのですが、それで良かったのでしょうか? なんか安易に削除するとプログラムが動かなくなるという記事を読んだので……。 長々と要領を得ない質問ですみません。どなたか教えてくださると嬉しいです。よろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- 以前の質問を見ても解決できないWORM_WINUR.C
QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。
- 締切済み
- ウィルス・マルウェア
- VBS_REDLOF.A.GENについて
Windows Meを使っているものです。 VBS_REDLOF.A.GENに感染してしまいました。 感染元 A0158109.CPY(C:\_RESTORE\ARCHIVE\FS1613.CAB) それと、ウィルス名が「---」で、 感染元がC:\_RESTORE\ARCHIVE\FS1613.CAB というのがあったのですが、これは何でしょうか。 教えてください。 感染していることが分かり、対応してみたいのですが、 HKEY_CLASSES_ROOT\dllfile\Shell が見つかりません。 dllfileまであるのですが、shellがありません。 実は、焦ってHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runのレジストリキーを削除してしまいました。 これとshellが見つからないのは何か関係があるのでしょうか。 また、レジストリキーを削除したことによって何か問題があるのでしょうか。 なぜかシステムの復元ができなくて困っています。 ぜひアドバイスをよろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- 「HKEY_LOCAL_MACHINE\SOFTWARE・・・・・」のある場所がわからないんです。
レジストリエディタの中にある「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run」のある場所がわかりません。 細かく具体的に教えていただけないでしょうか。 やはり、ひとつひとつ開けていかないといけないのでしょうか? よろしくお願いいたします。
- ベストアンサー
- Windows XP
- PE_BRID.Aの対処について
PE_BRID.Aの対処について質問です。 研究室のユーザー共有のパソコンがPE_BRID.Aウィルスにおかされたようです。(windows2000です。) 以下のサイトを見て、対処しようと取り組んでいるのですが、 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_BRID.A ここで以下のように説明されているのですが、、、 ------------------------------------------------------------------ 1. Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジス トリの値を削除してください。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 値: regedit = "<Windowsシステムディレクトリ>\regedit.exe" *WindowsNT/2000の場合* Windowsシステムディレクトリ= C:\WinNT\System32 ------------------------------------------------------------------- これがよくわかりません。 もしも、よろしければアドバイスをお願いします。
- ベストアンサー
- ウィルス・マルウェア
- Redlof.A駆除後のレジストリ修正について
皆さん、こんにちは。 以前の回答を参照したのですが、まだ疑問に思う点があるので質問させてください。 先日、Redlof.Aというウイルスに感染してしまいました。 他社のオンラインウイルススキャンを使うために、ウイルスソフトを一時的に無効にしたのですが、 うっかりそのままブラウジングしてしまったのが原因だったようです。 その後、シマンテック社のサイト内の駆除方法 http://www.symantec.com/region/jp/avcenter/venc/data/vbs.redlof.a.html を参考にし、感染ファイルの削除までは済ませました。 しかし、次に挙げる削除すべきレジストリ値が、私のPCには見当たりません。 -------------------------------- ・Kernel32 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) ・Stationery Name(Stationery Name Convertedならあります) (HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\OutlookExpress\[OutlookVersion].0\Mail) --------------------------------- また、次のレジストリキー・サブキーも見当たりません。 ---------------------------------- ・HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options ・HKEY_CLASSES_ROOT\dllFile ---------------------------------- 見つかったレジストリ値だけでも削除するべきでしょうか。 それとも、何も手をつけない方が良いでしょうか。 このままだと、いずれ不具合が発生するのではないかと心配しています。 できれば、リカバリー等は避けたいと思っているのですが…。 何かご存知の方がおられましたら、ご回答宜しくお願い致します。
- 締切済み
- ウィルス・マルウェア
- スタートアップ項目の削除方法につて
Windows10・64bitのBTOパソコンです。タスクマネジャーのスタートアップの項目にアンインストールしたアプリケーションの項目がいくつか残っています。以下のレジストリを参照しますが、該当のスタートアップの項目が見当たりません。どうぞ、削除方法をご教示ください。よろしくお願いいたします。 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- ベストアンサー
- Windows 10
- TROJ_BRISS.Hというウイルスが検出されたのですが・・・
TROJ_BRISS.Hというウイルスがウイルスバスターで検出され、隔離されたのですが、よくわかりません。 トレンドマイクロのウイルス検索で検索したところレジストリ値がかえられてしまうということだったので、直ぐに手動削除手順というのを見ながらやってみる事にしたのですが・・・ まずファイル名を調べるという事だったので調べるとBRIDGE.DLLというものだったのでタスクマネージャーを開いて探してみたのですがありませんでした。 だから一応レジストリ値も見てみたのですが、HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Runという場所には何もありませんでした。 この場合ウイルスが検出されただけで実行はされていないのでしょうか??
- ベストアンサー
- ウィルス・マルウェア
補足
丁寧にありがとうございます。 1なのですがウィルスバスターオンラインスキャンで無料ウィルス駆除ツールってところで2個のウィルスが見つかりましたってでてきたのでそこで削除したのですが友達がいうには削除はできても駆除はできないということなので駆除したいと思いいろいろとやってみたのですがファイル名を指定して実行ってところで「scanregw」って入力しても見つかりませんとでてきます。 その代わりファイルを探すところで「kernel」と入力すると「kernel32」とかが4個でてきました。 これは・・・どっかおかしいのでしょうか(泣)