• ベストアンサー
  • すぐに回答を!

restoreフォルダ

WORM.AGOBOT~が検出され、システムの復元を無効にしrestoreフォルダを削除してみてはと教えていただいたのき復元は無効にしたのですが、restoreフォルダはwindowsフォルダのsystem32フォルダにあるものがそうなのでしょうか? また、このフォルダに3つ程ファイル?「rstrui」「srdiag」「srframe」とかいうものがありますがこれも一緒にフォルダごと普通に削除すればよろしいのでしょうか? それと、WORM.AGOBOTですが、WORM.AGOBOT.PRAというものを検出し、検出されたのは、C(Windowsが入っているドライブです):Documents and Settings\All Uses\Documents\Srv325.exeでした。 一番最後のSrv325.exeがウィルス名です。 OSはXPで、ウィルスバスター2005を使っています。 よろしくお願いします。

共感・応援の気持ちを伝えよう!

  • 回答数5
  • 閲覧数447
  • ありがとう数0

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

システムの復元を無効にした時点で、それまで作られていた復元ポイントはなくなるはずです。ご自身で手動でどうこうする必要はありません。 WORM.AGOBOT.PRAですが、 http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EPRA&VSect=Sn Ctrl+Alt+Delでタスクマネージャを起動し、プロセスタブでSrv325.exeを探し、プロセスを終了します。もし、それで終了できないなら、パソコンをセーフモードで起動します(PCの電源を入れなおし、メーカーのロゴ画面が出たらF8を連打、そのあとは、画面の指示に従ってください。不安なら、調べてから作業してください)。 そのあと、レジストリを操作します。レジストリの操作は難しいです。間違うとパソコンが起動しなくなることもあります。慎重に。 スタート、ファイル名を指定して実行、「regedit」入力し、「OK」をクリックします。 レジストリエディタが起動したら、左側の画面で、次のものの左にあるプラス印をクリックして展開します。その下位からその次のものを探して展開、と繰り返してRUNまで行ってください。 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run Runまでいったら、そこを一回クリック。今度は右側の画面を見て、「名前」のところに「Srv325」、「データ」のところに「Srv325.exe」がある行を探します。あるのであれば、まずはバックアップをとります。左の画面で「Run」が青くなっていることを確認してから、レジストリエディタの上部にあるメニューの「ファイル」から「エクスポート」を選び、デスクトップなどにわかりやすい名前で保存します。 バックアップ後、また右側の画面で、名前欄の「Srv325」のところで右クリック、削除を選び、削除します。 同様に、 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices を開き、そこでも「名前」のところに「Srv325」、「データ」のところに「Srv325.exe」がある行を探し、あればバックアップを取ってから削除。 削除後、レジストリエディタは終了し、パソコン再起動です。 再起動後、ファイルやフォルダの検索で、Windowsフォルダ内で「HOSTS」を検索。メモ帳などのテキストエディタで開きます。以下のエントリを削除します。 127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 削除したら、メモ帳を閉じます。 終わったらウイルスバスターで再度検索し、ファイルを隔離か削除させます。 このウイルスは、ウインドウズの脆弱性を狙ったものなので、必ずWindows Updateをしておいてください。 ・・・・ということが、上記のページに書いてあります。ご自身でもお読みになってから、ご自身の責任でやってみてください。

共感・感謝の気持ちを伝えよう!

質問者からの補足

ご回答ありがとうございます。 ウィルスを検知した時の、ウィルスバスターの処理ですが「隔離(安全です)」となっていました。 Ctrl+Alt+Delでタスクマネージャを起動し、プロセスタブでSrv325.exeを探したのですが、無かったのでこれは大丈夫だったとみるべきなのでしょうか? また、windows updateは現状では更新事項はありませんでした。ただ、未だサービスパック2でないのが問題なのでしょうか?

関連するQ&A

  • ウィルスと_RESTOREフォルダの関係について

    ウィルスについて質問です。OSはWinMeです。 今日ウィルスバスター2003の体験版を使用し、Cドライブを全スキャンしました。 すると、C:\_RESTORE\ARCHIVE\FS814.CABと C:\_RESTORE\ARCHIVE\FS791.CABからはWORM_KLEZ.E C:\_RESTORE\ARCHIVE\FS1477.CABからはWORM_BADTRANS.B が発見され驚いています。ウィルスバスターでは隔離も駆除もできないみたいです。 それでパソコンにプリインストールされていたアンチウィルスソフトMcAfee VirusScanはデフォルトの 設定ではCドライブの_RESTOREフォルダをスキャンしない設定になってます。 いったいこの_RESTOREフォルダはなんなのでしょうか?なぜMcAfee VirusScanはこのフォルダを スキャンしない設定になっているのでしょうか? またウィルスの発見された上記3ファイルは削除するべきでしょうか? ご回答よろしくお願いします。

  • 増えちゃう

    はじめまして ウイルスバスターを使ってるのですが DOS_AGOBOT.GENというウイルスに感染してるらしく 駆除できないらしいのでファイルごと削除してくださいと書いてあったのでファイルを削除したのですが またいつの間にかDOS_AGOBOT.GENが出てきます WORMは検出されません、この場合 どうすればDOS_AGOBOT.GENの発生を止めることが出来るのでしょうか? やはりWORMが悪さしてるのでしょうか? いつもWINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS というとこに検出されます

  • \System Volume Information\_restoreにウイルス?

    PC全体をウイルス(スパイウェア)スキャンしていなかったので、久しぶりにa-squared freeでスキャンしました。 すると、O:\System Volume Information\_restore{96D8E5D7-FD05-46F4-AE18-E3290F4212D8}\RP161\A0110271.exe が、Worm.Win32.Antinny.ae!A2 だと検出されました。 ネットで調べたところ、このフォルダはシステムの復元に関するフォルダだとわかり、システムの復元を無効に、それで上記のファイル(ウイルス)は削除されたようです。 ネット上で調べると、たいてい上記のフォルダはCドライブ上のようですが、なぜOドライブかなのか疑問なのかと、このフォルダからウイルスが検出されたということは、今まで(今も?)ウイルスに感染していたということなのでしょうか? それとも、ウイルスを削除した直後に、削除前の状態にシステムの復元を実行したから、このフォルダ内から検出されたのでしょうか? ウイルスバスター2007でもスキャンしましたが、上記のファイルはウイルスだと検出されませんでした。 http://www.virustotal.com/jp/でスキャンしたところ、88%と表示されたので、すぐにそのファイルを削除しました。 OSはXP SP2です。

その他の回答 (4)

  • 回答No.5

このウイルスが狙っているセキュリティホールをふさぐ修正プログラムは、MS03-026(823980)とMS04-011(835732)です。 Windows Updateの画面の左側に、「更新の履歴の表示」というメニューがあります。そこをクリックすると、今まで更新してきたものがわかります。心配だったら、そこを表示して、上記のもの( )内の数字を確認してみてください。 ウイルスが隔離されていたということですので、よかったですね。多分、上記のプログラムが適用済みでセキュリティホールがふさがってたために、入ってきても感染しておらず、隔離が可能だったのでしょう。

共感・感謝の気持ちを伝えよう!

  • 回答No.4

隔離されているならば、全く問題はないと思いますが、何らかの症状が確認できますか? 常駐監視していて、ファイルを特定して隔離できている場合は、感染していないと思いますが? (「拾っただけ」の状態と言うことになります。) ウィンドウズアップデートは、月1回になっています。 今月分が終わっていれば、問題はないでしょう。 (と、言うか、他に手がありません。) XPの場合、自動アップデート機能が有効になっているならば、最新のセキュリティパッチは当っていると思います。

共感・感謝の気持ちを伝えよう!

  • 回答No.3
noname#10679
noname#10679

先ほど書き込み忘れた内容で C:\windows\system32\restore は正常なシステムフォルダーですので 「rstrui.exe」「srdiag.exe」「srframe.mmf」の 各ファイルを削除するとシステム復元機能が 壊れますので削除は禁止です

共感・感謝の気持ちを伝えよう!

  • 回答No.1
noname#10679
noname#10679

C:\System Volume Information\_restore ここに有るのがシステム復元用の" _restore "です " System Volume Information "は隠しファイルです ☆Windows Me/XP の「_restore」フォルダ http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=7260 マイコンピーターからローカルドライブCを開いて C:\Documents and Settings\All Users この中のフォルダーには通常Documentsのフォルダーは 有りません?? 【WORM_AGOBOT.PRA】 http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.PRA ・OSのUpdateが必要です ・レジストリーの修正 ・HOSTSファイルの内容修正 ・_restore のシステム復元の無効 【レジストリエディタ(regedit)の使い方】 http://www.higaitaisaku.com/regedit.html 【hostsファイル】 http://www.higaitaisaku.com/search.html

参考URL:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=7260

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • WORM_AGOBOT.AGIでお聞きします。

    ウィルスバスター2005のリアルタイム検索で、「WORM_AGOBOT.AGI」というウィルスが検出され、検出処理が「隔離(安全です)」と出たのですがこれは大丈夫なのでしょうか? 隔離されたものを削除し、手動検索をしたところ「WORM_AGOBOT.AJD」というのが出たのですが、これも「隔離(安全です)」と出てきました。 (この時は、ネットに繋げたままでした) 使用しているOSはウィンドウズXPです。 よろしくお願いします。

  • 感染ファイルが消せません

    質問させて頂きます。 本日ウイルス検索を行った所。 DOS_AGOBOT.HM 感染ファイルhosts WORM_AGOBOT.GEN 感染ファイルDrscfg.exe と表示されました。 DOS_AGOBOT.HMはウイルスバスターの隔離で簡単に削除できたものの、 WORM_AGOBOT.GENは手動削除しようとしても出来ません。 レジストリのrun,RunServicesから CDR Processor Drscfg.exeを2項目 削除し、そのままファイルを 削除でも再起動後でもDrscfg.exeファイルを 削除する事が出来ません。 また再起動するたびにDOS_AGOBOT.HM 感染ファイルhostsとレジストリのCDR Processor Drscfg.exeが2項目とも復活してしまい非常に困っています。 お手数ですがわかりやすく答えて頂けると幸いです。

  • WORM_AGOBOT.JFの感染について

    約1ヶ月前に「WORM_AGOBOT.JF」に感染しました。 最初の感染は気づくのが遅れたため、感染したファイルは40個以上にもなりました。 その時にはウイルスバスターで完全に駆除できました。 しかしその後、毎日の様に、リアルタイム検索で「WORM_AGOBOT.JFを隔離しました。」をいうメッセージが出ます。無事隔離できるので問題が無いのかもしれませんが、多いときには一日何回もメッセージが出るので気になります。 何か対処法があるのでしょうか。 感染ファイルは「C:\System Volume Information\_restore{550D7C2E-94C9-495B-9292-C78F37823E27}\RP177\A0012127.exe」で、毎回最後の「\A0012~」の数字が違います。

  • 感染ファイルを隔離・駆除できません。

    ウイルス感染し、ウイルスバスターで隔離できません。 ウイルス名は、WORM_AGOBOT.GEN 検出ファイル名は、 C:\WINDOWS\SYSTEM32\IEXPLORER.EXE 検出時の処理は、隔離できませんでした。 手動処理しようとWINDOWSのレジストリエディタの使用を試みましたが、一瞬だけ起動するだけで、パッと消えてしまうので、使用不可能でした。 いろいろHPでも調べたのですが、手動処理しか掲載されていません。 駆除できる方法を教えて頂きたいです。 (隔離でも構いません)。 宜しくお願い致します。

  • AGOBOT.DGが何度も検出されてしまいます

    パソコン(Windows 2000 Professional)を起動すると、自動的にSYS78.EXEが起動してしまいます。 直後にウイルスバスター2005によってWORM_AGOBOT.DGは隔離され、システムが修復されたことも表示されます。 そのあと、このページ (http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EDG&VSect=Sn) の手動削除手順の欄に書かれているとおりにレジストリキー、レジストリ値を削除しようとしても、そのようなキーや値が存在していません。 また、ウイルスやスパイウェアを検索してみても、特に何も検出されません。 しかしその後もWindowsを起動するたびにSYS78.EXEのウィンドウが出現し、WORM_AGOBOT.DGが隔離されます。 今のところ、パソコンが何らかの影響を受けていたり、システムが改変されたといった様子はないのですが、どの程度危険なウイルスなのかよく分からないのですが、パソコンを起動するたびに「ウイルスを隔離した」と表示されるので不安を感じています。 パソコンにあまり詳しくないので、どなたか対処法を教えていただければ幸いです。 よろしくお願い致します。

  • 勝手にフォルダが作成された

    C:\Documents and Settings\User\Local Settingsをみていたら、 前には無かったんですが、TempImagesというフォルダができていました。 ioC.ini register.exe が中にありました。(他のユーザーではフォルダはありません 他にもC:\Documents and Settings\UserにWINDOWSというフォルダが できていました。 更新時を見ると、2008年2月15日だそうです。 中身を見てみるとこんな感じになっていました。 +WINDOWS +system ファイルはなにもみあたりませんでした。(他のユーザーではフォルダはありません あとフォルダが作成されていたとは無関係なんですが、 C:\Documents and Settings\LocalServiceでなんとかのドキュメントの 名前が、前ユーザー(削除したユーザー)の名前になっていました。 例:太郎のドキュメント みたいな感じになっていました。

  • wmon32.exe が常駐する ウィルスについて

    会社で wmon32.exeが 自分をコピーするという ウィルスにかかってしまい、削除しても 再発します。 13台にかかってしまい、削除しても、ウィルスバスターやノートンでも 削除しきれません。 ウィルス名は WORM_AGOBOT.T です。よろしくお願い致します。

  • WORM_AGOBOT.JFの駆除方法

    WORM_AGOBOT.JFというウィルスの駆除方法が 分かりません。 駆除も隔離も出来ませんと出てきました。 ウィルスバスター2004のウィルスデータベース で調べてみたところ、英字ばかりで読めません。 また、WORM型ウィルスという事で、ダメージ クリーンナップサービスを実行し駆除しようと しましたが、全く効果なしです。 ウィルスによる被害は、まだ出てないようですが (気付かないだけかも・・・)PCを起動する度に WORM_AGOBOT.JF(感染ファイルを隔離できません) と出るので、怖いです。また、このウィルスと同時に DOS_AGOBOT.HMの表示も出てきます。 (このウィルスは、隔離成功してます) どなたか、駆除方法(対策)を教えてください。 ※WORM_AGOBOT.JF 感染ファイル:C:\WINDOWS\SYSTEM32\MSAWINDOWS.EXE ※DOS_AGOBOT.HM 感染ファイル:C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

  • System Volume Information\_restore~内のウイルスについて

    昨日、@niftyウイルスチェックサービスを利用していたところ、 スキャン中にウイルスセキュリティZEROが反応してGoogleToolbarInstaller98.exe(感染の割合Trojan-proxy.win32.horst.ais)と A0029348.exe(Trojan-proxy.win32.horst.ais)を隔離したとのメッセージが出ました。 その後、カスペルスキーのオンラインでチェックしたのですが スキャン中にウイルスセキュリティが同じ反応をしてGoogieToolbarと今度はA0029348.exeではなくA0029355.exeを 隔離したのとメッセージが出ました。 (GoogieToolbarInstaller98.exeのみファイルスキャナもかけたのですが ウイルスは検出しませんでした) A0029355.exeの場所がC:\System Volume Information\_restore~内で ロックされスキャンできない状態なので困り、 教えてgooの過去の質問を参考にフォルダオプションからSystemVolumeInformationのフォルダを表示できるように、 システムの復元を無効にした後、 もう一度カスペルスキーのオンラインとトレンド フレックス セキュリティで スキャンしてみたのですが、ウイルスは検出されませんでした。 その後、ウイルスセキュリティの隔離されたファイルの管理からGoogieToolbarInstaller98.exeを削除しました。 A0029355.exeは管理のリストにあるのですがA0029348.exeはありませんでした… リストに残っているA0029355.exeは削除していいものなのか… A0029348.exeはどこに… ウイルスセキュリティの誤作動なのか、 そうでなく感染しているのならこれで対処はできたのかどうか… 他にどういった対処をしたらいいのか分からず困っています。 長文申し訳ありません。 何かアドバイスをいただけたら… 宜しくお願いします。

  • 教えて下さい

    ある入力欄にC:\Windows\system32\restore\rstrui.exeと入力するとありましたが \の所が/ではなく反対の斜めのように記載されていましたがコピーしましたら\に成っていましたが この記載が正しいのでしょうか? よろしくお願いいたします。

専門家に質問してみよう