- ベストアンサー
トロイの木馬に感染:ファイル削除ができません、助けてください!!
トロイの木馬に感染したようで、ウイルス名はTrojan.Vundoと表示され、Norton Antivirusでスキャン後、ファイルを削除しようとしましたが、「使用中」となり削除できません。駆除ソフトFixVundoも試みましたがダメでした。システム復元機能もオフにし、セーフモードでの立ち上げも試しましたが、どうしても削除できません。再インストールする以外に何か方法はありますか?誰かいい方法をご存知でしたら教えてください、お願いです!!
- kaluno
- お礼率11% (1/9)
- ウィルス・マルウェア
- 回答数9
- ありがとう数5
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
かなり厄介なウィルスですのでいくつかの道具が必要です。 以下の準備ができたら補足欄にでも書き込んでください。 準備1.「VundoFix.exe」のダウンロード 下記サイトで「VundoFix.exe 」というファイルをダウンロードします。 www.atribune.org/downloads/VundoFix.exe ファイルへの直接リンクですのでアクセスすると「ファイルのダウンロード」の警告画面が出ますので「実行」を選択します。 次の「セキュリティの警告」画面では「実行する」をクリック 保存場所の指定画面では初期設定(デスクトップ)のままで「Install」をクリック。 デスクトップに「VundoFix」というフォルダが作られファイルが保存されます。 準備2.「HijackThis」のダウンロード 下記サイトから「HijackThis」をダウンロードします。 http://www.download.com/HijackThis/3000-8022_4-10379544.html?tag=lst-0-1 ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。 「HijackThis.exe」をデスクトップの「VundoFix」フォルダに保存します。 準備3.「CleanUp!」のダウンロード 下記サイトの画面下の方にある「CleanUp40.exe」をダウンロードします。 http://www.stevengould.org/software/cleanup/download.html 「CleanUp40.exe」を実行して適当な場所にインストールします。 ショートカットを「VundoFix」フォルダにおいておくと便利です。 エキスプローラで下記6つのファイルが保存されているのを確認します。 starthjt.vbs vundo.reg KillVundo.bat process.exe ReadMe.txt HijackThis.exe CleanUp!のショートカット
その他の回答 (8)
- doki2
- ベストアンサー率51% (440/860)
>「中国からのメールを受け取ったけどそれが原因??」 多分ヌレギヌでしょう。 こんな記事があるので注意してください。 WinFix is NOT WinFixer 「http://www.dslreports.com/forum/remark,14425352?hilite=winfixer」 ただし、私はどちらのサイトも詳しくないのでノーコメントです。 欧米のフォーラムでも質問者が「WinFix」、回答者は「WinFixer」と呼んでいるようです。 ウィルス対策ソフトでは「Vundo」とか「WinFixer」といっていると思います。 WinFixer 2005 http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453094807 >日本語読めない人だから、どうやってその画面にいったのかわからないし。 最近のGoogleは中国語のサイトを沢山リストアップします。 >もし中国からのメールは受け取らない方がいいのなら言わないといけないのですが、どう思いますか? 中国からの留学生さんでしょうか? 低コストで利用できる貴重な通信手段ですから、禁止というわけには行かないでしょう。 ルールの厳守を徹底すればいいのではないでしょうか? 1.知らない相手からのメールは開かない。 2.添付ファイルつきのメールは絶対に開かない。
お礼
本当に色々とアドバイスありがとうございました! 自分はあんまりPCに詳しいわけじゃないし カナダに来てそんなに経ってないので そんなにたくさん知り合いもいなくて困り果ててました。 本当にありがとうございました!!
- doki2
- ベストアンサー率51% (440/860)
よかった!よかった! 回答者をやっていて、一番困るのが、質問者さんのPC環境に支障が出ることです。 特にWinsock関連は、レジストリの設定が複雑多様なので、よほど注意してかからないと問題を起こしてしまいます。 「HijackThis」というのも優れたツールですが、諸刃の剣のような所があって下手に触ると取り返しがつきません。 HijackthisやCleanupの処理ですが異常がなければ特にやらなくてもいいでしょう。 終わりよければすべて善しとして下さい。 Bye
補足
本当にありがとうございました!! 感染したとわかった時はどうしようかと思いました。。 ルームメイトが、「中国からのメールを受け取ったけどそれが原因??」とちょっと心配してましたがそんな可能性ってあるんでしょうか、あとは、これまたルームメイトが使っていて、なぜかWinfixダウンロード画面に行ってたことが。一度誤ってダウンロードしたけどアンインストールしました、そのあたりから調子が悪くなった気も確かにするんですよね・・。日本語読めない人だから、どうやってその画面にいったのかわからないし。 もし中国からのメールは受け取らない方がいいのなら言わないといけないのですが、どう思いますか?
- doki2
- ベストアンサー率51% (440/860)
「HijackThis」でRestoreしてもネットにつなげない場合は、(必ず修復できるという保障はありませんが、)Winsock関連を修復するツールを使ってみてください。 WinsockXPFix.exe http://www.iup.edu/house/resnet/winfix.shtm 上記ページで「WinsockXPFix.exe」をクリックしてダウンロードできます。 ファイルサイズは1.34MB、1.44MBのFDに、ぎりぎり入るサイズです。
補足
何度もすみません、実はローマ字入力して家に帰ったあと、電源を長押しして強制終了できるか試してみたら(ウイルス感染以降、電源長押ししてもなぜかすぐ起ちあがって切れなかったんです)、電源切ることができて、そのあと起動させたらほぼ何もかも元通りになりました、ネットにもつなぐことができましたし、ウイルススキャンしてももうウイルス検出はされません。感染してたファイルの削除はできたみたいです。が、一応HijackthisやCleanupの処理をした方が良いかな?と思ったんですが、どうでしょう?もうウイルス検出されないとはいえ、ちょっとこわくて・・・。すごく丁寧にネット接続の説明をしてくれたのにすみません。。でもありがとうございます!!
- doki2
- ベストアンサー率51% (440/860)
これは困りました! 私もダミーファイルを作って3回テストしましたがおっしゃるようなトラブルはありません。 「KillVundo.bat」終了後、電源ボタンの長押しで強制終了が必要だった程度です。 その他のファイルチェックしてみましたがネット接続の関連はありません。 欧米のフォーラムでも、ネット接続不能のトラブルは報告されていません。 http://forum.iamnotageek.com/archive/topic.php/t-1819091277.html http://forums.techguy.org/archive/t-404657.html 考えられることは「HijackThis」での操作で「Fix」してはいけないものを「Fix」した可能性くらいです。 1.重要なデータをCD等にバックアップしてください。 2.「HijackThis」のリストア機能を使って「Fix」したものを復元してください 「HijackThis」を起動 「Do a system scan and save a logfile」をクリック 画面右下の「Config」をクリック 「Configuration」画面で「Backups」をクリック 前回「Fix」した日付の項目すべてにチェックを入れ画面右の「Restore」をクリック パソコンを再起動してください。 3.「HijackThis」の操作については別途作業することにしましょう。
- doki2
- ベストアンサー率51% (440/860)
次の作業を実行してください。 作業1.「KillVundo.bat」の実行 パソコンをセーフモードで再起動します。 「VundoFix」フォルダにある「KillVundo.bat」をダブルクリックしてください。 以下、ExplorerやWonlogonという重要なプロセスを強制終了させますので画面が乱れることがありますが心配ありません。 一連の作業終了後、パソコンを再起動すると正常に戻ります。 先ず最初に下記表示が出ます。 >VundoFix V2.14 by Atri >By using VundoFix you agree that you are doing so at your own risk >Press enter to continue.... ご利用は自己責任でという意味です。 よろしければ「リターンキー」を押して次へ進みます。 >Type in the file-path as instructed by the forum staff >Then Press Enter, Then F6, Then Enter Again to continue with the fix. 削除するファイル名を下記のように入力 「C:\WINDOWS\system32\sstsr.dll」 「リターンキー」「F6キー」「リターンキー」の順でキーを押します。 続いて下記表示が出ます。 >Please type in the second filepath as instructed by the forum staff >Then Press Enter, Then F6, Then Enter Again to continue with the fix. 2番目に削除するファイル名を下記のように入力 「C:\WINDOWS\system32\rstss.*」 「リターンキー」「F6キー」「リターンキー」の順でキーを押します。 ファイルの削除とレジストリの修正が実行されたあと「HijackThis」が起動されます。 作業2.「HijackThis」の実行 下記の行があれば、左端にチェックを入れて「Fix checked」をクリック R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/...://my.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\system32\sstsr.dll O20 - Winlogon Notify: vtstu - C:\WINDOWS\system32\sstsr.dll 「HijackThis」を終了して何かキーを押すと自動的にパソコンが再起動されます。 作業3.「CleanUp!」の実行 「CleanUp!」を起動して画面右側の「Option」ボタンをクリック 下記の項目にチェックを入れ「OK」 Empty Recycle Bins Delete Cookies Delete Prefetch files Cleanup! All Users 画面右側の「Cleanup!」ボタンをクリック 作業終了後、再起動するかどうかの画面では「いいえ」を選択。 作業4.Norton Antivirusでスキャンして見てください。
補足
konnnitiwa, teineinasetumei arigatougozaimasita iwaretatoorini Kilvundo no jikkou madeha monndainaku dekite file mo sakujo dekitayounanndesuga sonogo Hijackthis ga kidousezu syudoude kidousase scan sitanodesuga jouki no gyou ga mitukarazu ikidumatte imasu sarani nazeka netto ga tunagaranakunari ieno tikakuni aru daigaku no PC wo tukatteimasu tada kono PC ha nihonngo taiousitenaiyoude sikatanaku ro-maji nyuuryoku siteimasu yominikukute sumimasen yokattara mata adobaisu itadakeruto uresiidesu
- doki2
- ベストアンサー率51% (440/860)
削除できずに困っているファイルのファイル名を補足してください。 多分2つあると思います。
補足
アドバイスありがとうございます! 最初はファイル二つ感染してたのですが、一つはどうやら削除できたみたいなんです、今、削除できなくて困ってるのはWINDOWS\system32\sstsr.dllです。
- wirelessml
- ベストアンサー率42% (235/559)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_VUNDO.C http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_VUNDO.F http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_VUNDO.H ヴァンドー(Vundo)はかなり厄介なトロイの木馬です。 まずオンラインスキャン(下記URLをクリック)を行い、その結果を見て対応させて下さい。
補足
アドバイスありがとうございます! オンラインスキャンしてみたんですが、「ウイルスは検索されませんでした」とでました、でもまだPCは調子悪いままなので,今、他の方がしてくれたアドバイスとおりにやってるところです。
- thanks39
- ベストアンサー率61% (1189/1944)
感染ファイルが分かっているなら回復コンソールから(98/MEなら起動ディスクから起動して)の削除を試してください。
補足
回答ありがとうございます! ただ「回復コンソール」が何なのかがわからず、今、他の方法をまた試してるところです。よかったら教えていただけますか?
補足
とても丁寧なアドバイス、ありがとうございます! 準備完了しました、次はどうしたら良いですか?