- ベストアンサー
ウイルス感染によるトラブルとフォルダの復元方法について
- lnk dorkbotというウイルスに感染しました。再起動後かウイルスバスターの設定変更時に感染したようです。ウイルスは駆除できたが、タスクマネージャーに起動する謎のプロセスがあり、シャットダウンできない問題も発生しています。さらに、リムーバルディスク内のフォルダがlnkファイルに置き換えられ、元のフォルダが消えました。
- ウイルス感染後、タスクマネージャーにskyrpe.exeという謎のプロセスが起動しており、終了できない問題が発生しています。また、cylolqというファイルがスタートアップに設定されているため、不安です。
- リムーバルディスク内のフォルダがlnkファイルに置き換えられてしまい、元のフォルダが消えました。フォルダのパスを打ち込むと中身が表示されるため、フォルダは残っている可能性がありますが、エクスプローラー上では確認できません。フォルダの復元方法について教えてください。
- rootssuki
- お礼率42% (3/7)
- ウィルス・マルウェア
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
No.1です。 >adobe関係に偽装した謎のrundll32.exeとlnkファイルが それが「C:\Windows\System32\」フォルダにある「rundll32.exe」の 場合それは本来の Windowsにとっても重要な実行ファイルになるらしい ので、本件の不正プログラムはそこを利用しているんでしょうね。 しかし「C:\Windows\System32\」以外に存在するなら、それは本来の Windows には必要の無いインチキなファイルだと思います。 ただ、仮にそれを手動で削除できたとしても、別のエラーが出るかも 知れません。(レジストリが絡んでいる可能性があるので…) >現在はまた再起動したらどうなるのかはわからないのですが・・・。 いわゆるスタートアップ以外のレジストリ改変によって起動当初から 常駐するタイプのマルウェアも多いので、その場合はそこを修復しない 限り再発すると思います。 なお、オイラは単なる素人なので、例えばレジストリのどの辺が改変 されているのかまでは追求しきれません。 で、セーフモードで起動した場合はどうかですが、ウィルスバスター では手に余るようなので、Trend Micro 社以外のセカンドオピニオンの 支援を受けてみては如何でしょう。 駆除ツールのダウンロードと駆除(Kaspersky Virus Removal Tool) https://www.ccc.go.jp/flow/03/322.html セーフモードでの駆除ツール実施手順 https://www.ccc.go.jp/detail/safe_mode/index.html ただし、新種のようだから駆除できない可能性は高いです。 (/_;) >skyrpe.exeというファイルはユーザー\appdata\roaming\skypeの中に 因みに、現在 Skypeはご利用ですか? オイラは利用していないので、Windows7のそこには「shared.lck」と 「shared.xml」しかありません。 利用していないなら当該フォルダ内を空っぽにしても良いはずですが 前述したようにマルウェアのせいで別のエラーが出るかも知れません。 >再インストールするのが賢明でしょうか。 どうしても修復できず、新たな鉄人のアドバイスが出なかった場合は その方が手っ取り早いでしょう。 ツールによる現況分析結果を提示する時間的余裕と気力がおありなら 「アダ被(アダルトサイト被害対策の部屋)」に行って粘ってみる手も あります。 アダ被 BBS質問掲示板 http://bbs.higaitaisaku.com/cbbs.cgi 因みに、オイラは今までマルウェアの類に寄生された経験が無いので 「HijackThis」というツールのお世話になったことはありません。 そこんとこ悪しからず。 m(_ _)m
その他の回答 (1)
- Niwatori-Sanpo
- ベストアンサー率62% (1168/1867)
>プロセス一覧にskyrpe.exeという謎のプロセスが起動しており なんちゃって Skypeか、Skype モドキのような実行ファイル名ですが 当方の Windows7 や Vistaには存在しないし「cylolq」などという類の ファイルも見当たらないので少なくとも当方には必要のないプロセスの ようです。 質問者様お使いの OS の種類が不明ですが、もしかしたら同じような プログラムがスタートアップ項目にも登録されているかも知れません。 念のために「msconfig」コマンドから「システム構成」の「スタート アップ」タブを開いて、「skyrpe.exe」という「コマンド」に関連する 「スタートアップ項目」が登録されていないかどうか一応確認してみる ことをお勧めします。 というより「cylolq」が設定されているという「スタートアップ」と いうのも、「システム構成」の「スタートアップ」のことですよね? …で、そちらの方のチェックを外すことは出来ないのでしょうか? また、「Process Explorer」というツールを使って、実行されている プロセスの「プロパティ」ウィンドウにある「イメージ」タブを開くと 該当するプログラムが格納されている場所(パス名)を確認することが 出来ます。 ある程度その正体を突き止める手がかりが得られるかも知れません。 Process Explorer http://technet.microsoft.com/ja-jp/sysinternals/bb896653 >フォルダ自体は残ってると思うのですが、どのようにして復元すれば 恐らく問題のウィルス?(不正プログラム)を完全には追放し切れて いないのではないか或いは改変されてしまったシステムを完全には修復 し切れていないのでは無いか…そのために外部接続の当該リムーバブル ディスクが持つ情報を正常に認識できなくなっているのではないか、と 推測します。 仮に、当該リムーバブルディスク内に問題の不正プログラム?が未だ 潜んでいる場合、その記憶媒体を他の Windowsマシンに接続しても同じ 症状になるかも知れません。 ただし、質問者様もご推測のように、データ自体は無事に残っている 可能性が高いので、Windows 以外の OS が起動できる PC を別途に用意 して当該記憶媒体を接続すれば、データを救出できるかも知れません。 因みに、参考 URLの事例では「Knoppix」の CD-DVD版を起動して救出 できたようです。
補足
回答ありがとうございます。 スタートアップを確認したところadobe関係に偽装した謎のrundll32.exeとlnkファイルが設定されていましたので解除しました。 それよりも前の話になるのですが、 当方windows7 で消えたフォルダはシステム化+隠しフォルダ化されていてcmdでattribコマンドでもとに戻すことが出来ました。 ウイルスバスターで全ファイル検索をしたところ発見されず、先程再起動したところ再発してしまいました。 現在はまた再起動したらどうなるのかはわからないのですが・・・。 ちなみにskyrpe.exeというファイルはユーザー\appdata\roaming\skypeの中にありました。 気のせいかfirefoxでNortonの公式ページに辿りつけなくなったようです。 再インストールするのが賢明でしょうか。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
いろいろ有り難うございます! とりあえずスタートアップの見直しとKasperskyを利用してひとまず落ち着いた状況です。 ただどこかが改ざんされてたり見えないところで悪さしてたりが怖いので、地道に探すか再インスコでもしようかと思います。ありがとうございました! 少しのあいだまだ募集をかけてみます。