- ベストアンサー
ウィルスの削除の仕方
質問させてください。 彼女とPCを兼用(別ユーザー)にしているのですが、彼女が今日、PCを使おうと開いたときにウィルスが反応したらしいです。(そのまま、メールチェックだけしてやめたらしいですが) 私が帰宅後、確認のためにPCを立ち上げたとき、ノートンが反応し、ウィルスが見つかりました。詳細は下記のURLです。 http://www.symantec.com/region/jp/avcenter/venc/data/jp-infostealer.html ウィルス名はinfostealerという、パスワードなどを盗み出すウィルスのようですが、削除の仕方が良くわかりません。 1.システムの復元機能を無効にします (Windows Me/XP)。 2.ウィルス定義を最新版に更新します。 3.システム全体のスキャンを実行し、検出されたファイルをすべて削除します。 4.レジストリに追加されたすべての価を削除します。 5.Win.ini ファイルを編集します。 6.System.ini ファイルを編集します。 7.Temporary Internet Files フォルダのすべてのファイルを削除します。 1~3まではできたのですが、4は指定されたフォルダを探しても、書き留めたウィルスは見つかりません。 この場合、3で削除に成功したということでしょうか? 5と6はXPの方法が書いてないのですが、XPの場合、どう削除すればいいのでしょうか? あと、全てのパスはやはり変えるべきですか?それとも、PCに記憶させておいたパスのみ変えておけば大丈夫ですか? アドバイスお願いします。
- faucon_san
- お礼率36% (345/951)
- ウィルス・マルウェア
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
No.1です。『お礼』に書かれた内容は読ませていただきました。 >質問なのですが、 >>今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われます >その根拠というか、どういうところからそう思われるのでしょうか? >infostealerはパスワードを盗み、Hacktool.RootkitはPCをコントロールする・・みたいなことがノートンで書かれていたのですが・・・。 今回のように、システムに常駐する形で活動し、情報を漏洩するタイプのものについては、実際にそれが常駐するなどして活動を開始してしまった場合、ウイルス対策ソフト上からは直接削除や検疫(隔離)は出来ないことが多いのです。実行されるとか他のプログラムによって利用されている、あるいはシステムに組み込まれるなどしてしまっているものについては、実行されているプログラムを停止するとかをユーザー自身が手動で行わないと処理出来ないことが殆どです。 言い換えると…ウイルス対策ソフトの常駐保護が警告を出してきて、そのものがオンデマンドで簡単に処理出来る場合には、その際に検出されたものについては対策ソフトの常駐保護が未然にその活動を防いだ、と考えるのが筋なのだと私は思います。 ただし…お話によると、今回は別の感染が後で見つかった、ということですので、それについては残念ながら後手に回った、と考えることが出来るかと思います。 >1つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。その2つを削除してから反応はなくなりましたが。 後で全体スキャンによって見つかったこれらについては…既に活動が行われた可能性が高いと思います。つまり、今回のケースでは、ノートン製品をもってしても全ての感染を食い止めることが出来なかったと言えます。 rootkit系の感染が見つかった、ということは、巧妙に悪意のあるプロセスが隠蔽されていた可能性が高く、これが元で根本的な感染の発見が遅れたのだろうと思われます。 今回の場合については、単に常駐保護によってInfostealerが発見されたことだけ取れば、Infostealerそのものの活動は未然に防がれている可能性が高いです。で、 http://www.symantec.com/region/jp/avcenter/venc/data/jp-infostealer.html に従って作業した、ということなので、その時点で全体スキャンも行った、結果として検出されたものも処理された、と私には思われました。 その時点で、Hacktool.Rootkitなど他の感染については一切記されてなかったので当面の危険は少ないだろう、という判断に至った次第です。 一応、怪しいものが常駐保護で見つかった場合に、出来るだけ早期に他の感染がないかどうかを全体スキャンでチェックしておく必要はあるかと思いますが、ことトロイ系に関しては、見つかっても削除、検疫といった処理が全く出来ないものが確認されたときに初めて、感染が深刻であるかどうかの判断が出来るのではないかと思います。 繰り返しになりますが…常駐保護がトロイの木馬を検出したからといって、100%それが即危険だ、という判断をすべきではない、という考え方自体には変わりはありません。 ブラウザによってはからずも悪意のあるサイトにアクセスしてしまい、結果トロイの木馬系のファイルが読み込まれれば、対応していればウイルス対策ソフトの常駐保護機能は警告を出します。その時点ですぐに処理が出来れば大きな危険はありません。その辺は一般的なウイルスと同様です。体内に入ってもそれが活動して発病しない限りは即大きな問題とはならないのです。 ただし…実際のところ、いかにノートン製品が優れた対策ソフトであっても、特に非常に種類の多いトロイの木馬系の感染全てを検出し、食い止めるのは不可能です。ノートン製品に限らず、一般的なウイルス対策ソフトの力では防ぐことの出来ない感染は数多く存在します。 結果として、今回はそういうケースに該当する感染だったのだろうと思われます。追加で分かった状況からして、他の感染がまだ隠れている疑いも濃くなりましたので、No.2さんに同じくリカバリとパスワード関係を出来る限り変更されることをお勧めします。 この種の難しい感染を未然に防ぐための方法についても、全くない訳ではありません。100%、という訳にも行かないのでしょうが…かなりリスクを軽減することは可能だと思います。次の2つのページを参考にしてください。 http://www.higaitaisaku.com/korobanu.html http://www.geocities.jp/iespyad_jpn_manual/quick_guide/txt.html 取り分け、初期設定のままのIEであらゆるサイトにアクセスしてしまうことについては、今回のようなケースを引き起こす原因になるだろうと思われます。アダルト系、アングラ系に加え、海外のサイトにアクセスする場合でもIEのセキュリティ設定は『高』がお勧めです。でなければ、もっと柔軟にセキュリティ設定の切り替えが出来るタブブラウザ、あるいはIEに依存しないFirefoxやOperaのようなブラウザを常用されることをお勧めします。 また、ファイアウォールは適切に設定しておくことが必要です。数年前までは必須と言えなかったファイアウォールですが、昨今のネット事情では一般ユーザーの利用するパソコンであっても、開放されたポートから乗っ取りが図られるケースは決して少なくありません。お使いのノートン製品がInternet Securityであれば十分な防御が図られますが、AntiVirusだとすると全ての不正アクセスを防止出来るとは言えないと思います。(Norton AntiVirusにはファイアウォール的な機能も付属していますが… 標準の状態では全ての不要なポートが閉じられてはいない可能性が高いです。設定次第でより安全にも出来るかも知れませんが…その設定はかなり高度な知識が要求されると思うので、Internet Securityなどファイアウォール込みの製品に切り替えられるのが得策です。でなければ、ファイアウォール機能のついたルーターを併用されることです。)
その他の回答 (3)
- yoshi-thk
- ベストアンサー率38% (2059/5283)
No2ですけれど、ちょっと怖いですね。思い切ってリカバリした方が安全かな? リカバリ後は、パスワードは変更してしまうのですけれど。 ノートンだけでは検知漏れしてしまう可能性があるので、思い切って今回はリカバリして、 パスワード変更して様子見てください。
お礼
え~~・・・怖い??どの辺が怖いですか? リカバリも考えていますが、色々と準備が要るので、時間が掛かります。(2日ぐらい必要) 早急にリカバリが必要ですかね? ご回答ありがとうございます。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
隠しファイルの表示をしてから、ウイルス検索してますか? パソコンの場合には、初期値では隠しファイルは表示してないです。 隠しファイルを表示した状態でウイルス駆除をしないと、無意味です。 そして、出来る限りはウイルスが検知された場所のファイル名を明記してください。 処置の方法に違いがあります。 単に一時ファイルを削除するだけで終了するものや、隠しファイルを表示しないとわからないもの、 いろいろとありますので、確認された場所について明示するようにしてください。 Windows高速化への道 拡張子の表示、隠しファイルの表示 http://www003.upp.so-net.ne.jp/shigeri/technique/technique5.html
お礼
C:\WINDOWS\Config\SVhost32.exe C:\WINDOWS\Download\SVhost32.exe C:\WINDOWS\system32\dllf.dll C:\WINDOWS\Config\SVhost32.exe HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\hy HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\fzg 表示されたのは以上です。 削除できたと思ったのですが、次の日にPCを開けたらまた反応が出まして、スキャンを掛けたところ、2つ見つかりました。 1つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。 その2つを削除してから反応はなくなりましたが。 どう思われますか?
- ryu-fiz
- ベストアンサー率63% (2705/4228)
取り敢えず、対処は成功しているように思います。 >1~3まではできたのですが、4は指定されたフォルダを探しても、書き留めたウィルスは見つかりません。 >この場合、3で削除に成功したということでしょうか? そうだと思います。 PC起動時に見つかったものは、本格的に活動を開始する前に常駐保護が見つけて活動が抑制され、その後の処理で潜伏していたものも含めて削除が完了したと見ます。 ちなみに4の作業は、実体のあるファイルではなく、ファイルの起動に使われるレジストリキーに対する対処です。先述した通り、本格的に活動を開始する前にノートン製品がそれを差し止めたため、生成されるべきレジストリキーが出来ていなかったのでしょう。なければそれで構わないでしょう。 >5と6はXPの方法が書いてないのですが、XPの場合、どう削除すればいいのでしょうか? 気にしなくて構いません。Win.iniやSystem.iniによってプロセスをOSに組み込む手法は9x系の古いタイプのOSで使われるもので、XPや2000では『サービス』という別の手法が用いられます。サービスに関する設定は4の中に出てくる HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services で規定されますので、ここのチェックが済んでいればXP/2000の場合の対処はOKです。 >あと、全てのパスはやはり変えるべきですか?それとも、PCに記憶させておいたパスのみ変えておけば大丈夫ですか? 基本的には、あらかじめ記憶させておいたものだけではなく、感染する直前にPC上で入力したパスワード関係は全て変更しておくのが望ましいです。 ただし今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われますので、今回見つかったものに関してはパスワードなどの変更は必要ないように思われます。
お礼
ありがとうございます。 一応、パスワードは全て変更したのですが、次の日にPCを開いたらまたノートンが反応しまして、スキャンを掛けると2つ見つかりました。 1つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。その2つを削除してから反応はなくなりましたが。 質問なのですが、 >今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われます その根拠というか、どういうところからそう思われるのでしょうか? infostealerはパスワードを盗み、Hacktool.RootkitはPCをコントロールする・・みたいなことがノートンで書かれていたのですが・・・。 それと、このウィルスをどこから入ったかわかりませんが、万が一、私の情報が盗まれると仮定するならば、情報はウィルスを作った本人へ渡っているのでしょうか?それとも、winnyみたいに、不特定多数の人が入手できるような感じになるのでしょうか? アドバイスお願いします。
関連するQ&A
- これは何のウィルスでしょうか?(tmpファイルの増殖)
もらったファイルがウィルスだったようでTrojan.haradongとノートンにより検出されましたので、削除しました。 しかしその後、ウィンドウズのシステムフォルダ下のTmpフォルダに、Temp1.tmpのようなもらったファイルと同じサイズと思われるファイルが自動作成されるようになりました。そのたびにノートンが自動削除しています。しかし消しても消しても作成されるので、ノートンがフル回転しているせいか、パソコンでほかの作業がまったくできません。 http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.lootseek.av.html このウイルスかと思ったのですが、レジストリには上のページの記載が見つかりません。 Windows2000ProをThinkpadラップトップで使ってます
- 締切済み
- ウィルス・マルウェア
- ウィルス感染?
ファイル名の検索やシステム復元、更にはNortonさえも起動出来ない状態となりました。 そのほか色々いままで正常に動作していたものもおかしくなってしまいました。 おかしくなる前にNortonでW32.Pinfiをウィルスが見つかったので、駆除をしてhttp://www.symantec.com/region/jp/avcenter/venc/data/w32.pinfi.html に載っていたとおりPINFという値を削除しました。しかしレジストリのバックアップをしていなかったので元の状態に戻すことが出来ません。(この値を削除したのが原因なのかは分かりませんが) 解決策をご存知の方がいれば教えてください。 OSはXPです。
- ベストアンサー
- ウィルス・マルウェア
- ウィルスが削除できないです。だれか助けてください。
キンタマウィルスにかかってしまったようです。 ウィルスバスターでも検出できませんでした。 どこかのサイトに「システムの復元機能を無効にする。 UpFolder.txtの中で指定された場所に、readme.filesフォルダがあるので、それを削除する。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。 (/logon /start /autorun /startup これらが含まれている可能性が高い。) どれが怪しいか分からない場合は「データ」を辿ってみる。それが偽装アイコンだったら間違いなくキンタマ。 C:\Documents and Settings\ユーザー名\Local Settings\Temp\ユーザー名.txtなどを削除。 WINDOWS\win.ini、WINDOWS\system.iniに、キンタマっぽいのがWinnyのパスを書いていた場合そのパスのみを削除。 regedit.exe、regedt32.exe を復元。 」 とあったので一通りやってみたのですが、レジストregeditと復元してもすぐにメモ帳に戻ってしまいます。どうしたらいいのでしょう。どうか教えてください。
- ベストアンサー
- ウィルス・マルウェア
- 「W32.Wallz」ウイルス駆除の仕方
サポート切れのお試し版Nortonのウイルス対策ソフトを使っていますが、『ウイルス警告で「W32.Wallz」のファイルを修復できません』の表示が出てきました。どうやればウイルスを削除できるのでしょうか?リカバリーした後、インターネットを接続した時に感染したようです。困っています。どなたかわかる方折られたら教えてください。 「http://www.symantec.com/region/jp/avcenter/venc/auto/index/indexW.html」を見ると「W32.Wallz」の駆除ツールが出来ていないので無理なのでしょうか? 又、駆除ツールはそのうちにできるのでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- ウイルス(Bloodhound.Exploit.38)について
私はNorton AntiVirusを使ってるのですが先ほど突然、「Norton AntiVirusがコンピューター上でウイルスを検出しました」と出てきました。 それで削除しようとしたのですが、「ウイルス定義ファイルの更新サービスの期限が切れました。申し込みをするまで最新のウイルス定義は入手できません」と出てきて削除しようにも削除できません。 どのようにしたらこのウイルスを削除できるのでしょうか? ちなみにウイルスの詳細は、 http://www.symantec.com/region/jp/avcenter/venc/data/jp-bloodhound.exploit.38.html 上記のHPで見てください。 よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- これってウィルス?
トレンドフレックスのオンラインスキャンをして、その間PCをつけっぱなしにして放っておきました。 そしたら、ノートンがアイドルタイムの自動スキャンで、ある圧縮ファイルに反応していました。 その圧縮ファイルは、実際ウィルスではないんですが、なぜかセキュリティーソフトが反応してしまうんです。面倒になってその圧縮ファイルをノートンで削除し、再起動しました。 このときオンラインスキャンの方は何も引っかかっていませんでした。 それで再起動後にPC内のファイルを見ると、デスクトップや、その他PC内のあらゆる場所に、"desktop.ini"など大量の見慣れないファイルや、大量のアクセスできないフォルダが新しくできていました。 これってウィルスでしょうか。それとも削除したファイルなどを復元するためのものなんでしょうか。 非常に不安です。ご存知の方がいれば、どうか教えてください。
- ベストアンサー
- ウィルス・マルウェア
- 隔離されたウィルスを削除したいのですが
Norton AntiVirus2004を使用しています システムの完全スキャンを何度繰り返してもQuarantineというファイルがHacktool.DoSウィルスに感染していますと表示されますhttp://www.symantec.com/region/jp/avcenter/venc/data/hacktool.dos.htmlとhttp://service1.symantec.com/SUPPORT/nav.nsf/docid/1999110513272906を実行してみたのですが改善されませんでした 検疫項目のレポートでは「検疫項目0」となって何も表示されません、でも完全スキャンすると「脅威を検出しました2 削除したファイル2」等と出ます それの繰り返しです シマンテックのテクニカルサポートに電話したところ「Norton AntiVirus2004は(古いので)テクニカルサポートの対象外です」と言われてしまいました 先日1年間の延長キーを購入したばかりだというのに このままでは気持ち悪いです どうしたら良いのか教えて下さいお願いします。 eMachines J2950 WindowsXP HomeEdition Version2002 ServicePack2
- ベストアンサー
- ウィルス・マルウェア
- ウイルスを削除できません。
ウイルスバスター2006 リアルタイム検索で下記のメッセージが出ました。 リアルタイム検索中にウイルス/スパイウェアが見つかったため、自動的に処理しました。処理の結果は次のとおりです。 処理の結果: ファイルからウイルスが見つかりました。リアルタイム検索が有効なため、このファイルへのアクセスを拒否します。このウイルスは、手動で処理する必要があります。 ファイル名: C:\ProgramesMoeMoneyMaker4EbatesMoeMoneyMaker.exe ウイルス/スパイウェア名: ADW_TOPREBATES.P そこでファイル検索をして削除したのですが下記のメッセージが出て 削除出来ませんでした。 ファイルまたはフォルダの削除エラー edmm10350.datを削除できません。ほかの人またはプログラムによって使用されています。 ファイルを使用している可能性があるプログラムをすべて閉じてから、やり直してください。 どのようにしたら削除出来るのでしょうか?? PC関係データー システム Microsoft Windows XP Home Edition Version 2002 Sevice Pack 2 松下電器産業株式会社 CF-X10 Intel Pentium IIIプロセッサ 693 MHz 256 MB RAM よろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- ウィルスセキュリティが削除できません
DELL INSPIRON 1100 Windows XP 新しいウィルスソフトを入れようとして ウィルスセキュリティを削除しようとしますが 削除できません プログラムの追加と削除から試みますが失敗します メッセージは次のようなものです Failed to extrct file "Dll ini"from the binary table
- ベストアンサー
- ウィルス・マルウェア
- ウィルスです!助けてください!!!
今2ちゃんねるを見ていて、 あるところに入る (まだ具体的に板は選んでない、板がたくさんあるところ)と、 いきなりノートンの警告がでて 「ノートンがコンピュータ上でウィルスを検出しました。」 とでました。 オブジェクト名C、¥Document、、¥download(1)、htm ウィルス名Unix.Penguin 適応した処理・・このファイルを修復できません。 詳細を見るとhttp://www.symantec.com/region/jp/avcenter/venc/data/unix.penguin.html#removalinstructions 駆除方法に意味のわからないことが、 書いてるのですがどうすればいいのでしょうか? ノートンを入れてるからウィルスは勝手に削除されると今まで思ってました。 すいませんが、助けてください!!
- ベストアンサー
- ウィルス・マルウェア
お礼
ありがとうございました。 一応、ノートンのインターネットセキュリティを利用していたので、安全だと思っていたのですが・・・。 あれから、またスキャン(3日連続)しましたところ、infostealerがまた発見されました。 結果、私の知識で現状維持のままこれ以上の削除は不可能orリカバリーしたほうが早いと判断しましたので、結局、金曜の晩、土曜日1日を使って初期化しました。 色々とアドバイスありがとうございました。