- ベストアンサー
autorun.inf ウイルスに感染しました。解決できません。
昨日、何がきっかけで感染したのかは分かりませんが、使用してるNOD32が警告を出してきました。 ファイル C:autorun.inf ウイルス Win32/AutoRun.Agent.BE ワーム コメント アプリケーションの新規ファイル作成時にイベントが発生しました C:\WINDOWS\system32\spoolsv.exe. ファイルは隔離されました。 このような処理が延々と繰り返されます。 spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。 またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。 autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。 詳細な検査をしても引っかかりません。 このウイルスの除去方法を検索してみたのですが、解決方法が載ってるサイトなどを見つけることができませんでした。 システムの復元も効果はありませんでした。 自分の力だけでは解決することができません、どなたか解決方法等分かる方がいれば教えてください。
- cantry_check
- お礼率45% (28/62)
- ウィルス・マルウェア
- 回答数7
- ありがとう数8
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
ども。 初級初級シスアド、システム管理実務です。 このウイルス系はNOD32サイトで情報提供されています。 http://canon-its.jp/product/nd/virusinfo/vr_inf_autorun.html 他にもたくさん情報がありますが、削除は容易ではないようです。 システムの復元で元に戻らないようなら、クリーンインストールされた方が現状維持してウイルスの駆除をするよりも、時間的にもシステム的にも確実な復旧になると思います。 ご参考までに。
その他の回答 (6)
- akki0715
- ベストアンサー率35% (44/123)
とりあえず複数のオンラインスキャンをかけてみる。 それでだめならリカバリしたほうが早いです。 対策としてはあらかじめ各ドライブに空のautorun.infを作っておくことで感染を防ぐことができます。
お礼
対策方法を教えて頂いて有難うございます。 予防として作成しておきます。 有難うございました。
- wamos101
- ベストアンサー率25% (221/852)
こんにちは。 私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。 あれこれ試すよりリカバリしたほうが早い。
お礼
回答ありがとうございます。 取り出したいデータもあるのでやれるところまでやってみようと思います。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
早急にこの質問を締め切った上で、hitaitaisaku.comの質問掲示板への移動が妥当でしょう。 http://www.higaitaisaku.com/ autorun.infを介しての感染の場合、ハードディスクやリムーバルメディアなど、あらゆる媒体に感染が波及する可能性が非常に高くなります。PC内の全データを諦めることが出来ればリカバリによる初期化でも構わないですが…バックアップしたいデータが幾ばくかでもあるのであれば、可能な限り感染を除去するのがベターです。 ですが、現時点ではNOD32で検出出来ない感染が存在している確率が非常に高い。その大本となる感染を除去出来ない限りは、問題は解決を見ません。 悪質なプロセスがルートキットによって隠蔽されている可能性も高いので、higaitaisaku.comで複数の解析ツールを利用して状況を把握した上での綿密な対処のレクチャを受けるのがベストと考えます。 >C:\WINDOWS\system32\spoolsv.exe このファイルは正常なWindowsOSにも存在するので、NOD32の誤検出という可能性もゼロではありません。しかしながら、Cドライブにautorun.infが作成されるという現象は普通は起きないものなので、何らかの感染に遭っているのは間違いないでしょう。 >spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。 spoolsv.exeはシステムファイルです。また、正規のspoolsv.exeではない場合であってもシステムファイル属性として扱われている場合は、通常モードで起動した状態のままで削除を行っても、Windowsのシステムファイル保護機能によって復活することは不思議ではないと思います。 >またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。 >パーティションで区切ってあるDドライブからは何の警告もありません。 autorun.infを介する感染の場合、該当ドライブにアクセスが行われた時点で転移することが多いようです。エクスプローラ上などからDドライブを開かないようにしていれば、感染が波及しないケースも十分にあり得ます。逆に今後Dドライブにアクセスを試みることで、Dドライブからもautorun.infが検出される可能性は十分にあります。 >autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。 隔離後だからいくら探しても見つからない、という可能性はないでしょうか?そうでないとしたら、何らかの手法で隠蔽されている可能性もあります。 以前別の質問で、特定のファイルが見つからない状態になっていたという事例が紹介されていたと思います。その場合、コマンドプロンプトから直接ファイルを操作することが出来るようですし、Grape File Searchなどのフリーウェアを使うことで見つけて削除などが出来る可能性もあるようです。参考URLを。 http://questionbox.jp.msn.com/qa4290515.html あと、次のようなツールも公開されています。 CDブートで利用できる無償のマルウェア検査・駆除ソフト http://internet.watch.impress.co.jp/cda/news/2008/11/26/21647.html Windows上からの対処が難しい感染も、こうしたツール上からなら上手く対処出来るケースもあるようです。 正規のspoolsv.exeが悪意のあるファイルに置き換えられている場合、正常化のためには正規のspoolsv.exeを抽出して置き換える必要があるかと思われます。 http://homepage2.nifty.com/winfaq/wxp/hints.html#1466 http://homepage2.nifty.com/winfaq/c/hints.html#356 『セーフモードとコマンドプロンプト』で再起動後にexpandコマンドを使うことでspoolsv.exeの復元が可能かも知れません。 以上、思いつくままに書きました。乱文にて失礼。
お礼
色々なサイトを紹介してくださり有難うございます。 参考になりました、ウイルスソフトでスキャンしたら症状は現れなくなりました。 これから先は気をつけながらインターネットを利用したいと思います。 有難うございました。
- AmuroRay
- ベストアンサー率45% (246/538)
ども。 No.1です。 ■バックアップしたファイルの安全性 その時点に限りますが、完全に独立してウイルス検索されていれば、安全です。 ■C、D、Fドライブの安全性 ウイルス検索を実行した時点に限り大抵安全といえますが、未知なるトロイ系ウイルスが潜伏している可能性は否定できません。 時間など特定の条件が満たされたとき活動するのでその時点になるまでわからないというのが実際だと思います。 またいくらウイルス検索を実行しても先の説明にもありますが、autorun.inf自体はウイルスではなく検索にも検出されません。 あくまでautorun.infはウイルスを発動する引き金にすぎません。以前はメールに添付されたウイルスファイルを実行することで感染していたのが、autorun.infによる自動実行に置き換わっただけです。 ですから書き換えられたautorun.infを元に戻すか、削除するか、ウイルス本体を削除するかをしないと再び感染する可能性は高いです。 またウイルス検索でローカルのパソコンにウイルス本体が無くなっても、autorun.infで導かれネット経由でウイルス本体をダウンロードする可能性も否定できません。 厄介なウイルスです。 単に今お使いのパソコンにウイルスが存在しなくても、引き金が残っている限りネット経由で感染し続けるな可能性があるということです。 ご参考までに。
お礼
お礼が遅れ申し訳ありませんでした。 やはりウイルスの完全削除というのは難しそうなので、できるだけバックアップしてパソコンをリカバリしようと思います。 バックアップにウイルスが入っていたらもう諦めてそのデータも捨てて初期化します。 多くの事を教えて頂いて本当に参考になりました。 有難うございました。
- AmuroRay
- ベストアンサー率45% (246/538)
ども。 No.1です。 >Win32/AutoRun.Agent.BE ワームと同じウイルスなのでしょうか? 断定はできません。 この手の感染手段は多数あるので、ワーム系に限らずあらゆるウイルスに感染している可能性があると見た方が良いでしょう。 リムーバブルメディアのautorun.infを書き換え、そこに記述されているウイルスを無作為に実行するので、それがワーム系なのかトロイ系なのか全てはautorun.infによります。 とすれば疑わしきリムーバブルメディアのautorun.infに記述されている実行ファイルを一つずつウイルス検索してどのウイルスに感染しているか調べれば駆除できるのですが…。 そんなことをしている間に破壊をするウイルスに感染していたら解析をしている場合ではありません。また非常に時間がかかります。 なのでクリーンインストールが最良の手段になります。 またバックアップしたいデータはNo.2さんが言われるとおり、「感染された可能性があるデータ」であることを覚悟しなければなりません。jpgなどのわかりやすいデータでウイルス検索を実行すればほとんどのウイルスは検索、駆除できると思います。 ですがやはりさまざまなデータや、未知なるウイルス、トロイ系は見つけにくい、見つけられないケースがあり完全駆除はできないと思います。 また再発を防止するため、リムーバブルメディアの自動起動の機能を停止した方が良いと思います。 ご参考までに。
お礼
完全除去は難しいということなので、一部バックアップしてクリーンインストールをしたいと思います。 バックアップしたファイルがウイルス感染していた場合、クリーンインストールして再び侵されたら話しにならないので、バックアップしたいファイルは1個毎にNOD32のスキャンをかけウイルス検出又はウイルスである可能性として判断されなければそのファイルは「安全」と言えるでしょうか? また今回Cドライブ(C:autorun.inf)とFドライブ(F:autorun.inf)でのウイルス検出がされましたが、パーティションで区切ってあるDドライブからは何の警告もありません。これはDドライブだけ安全ということでいいのでしょうか。
- goold-man
- ベストアンサー率37% (8365/22183)
>NOD32が警告 アップデートしましたか? 警告だけで、駆除はしませんか? 参考URLの、(関連する)「5、駆除」をご覧ください。 最初にログオンユーザ名で動いている「svchost.exe」を終了させます・・・ autorun.infは正常なものも多いので一概にウィルスとは言えません。区別がつかないので、NO1の方のとおり、リカバリ(クリーンインストール)が簡単です。 データをバックアップする場合、特定のメディア(CD/DVD-R)に保存し「感染された可能性があるデータ」であることを記載しておきます。(なるべくそのデータは使用しない) 外部HDDなど大容量のメディアに保存するのは危険です。 セーフモードで削除、「システムの復元」を「無効」にして削除、 レジストリキーの削除、などがありますが、レジストリ操作の場合は、Win32/AutoRun.Agent.**の「亜種」を参考に。(リカバリの方が危険でなく簡単) http://www.avira.com/jp/threats/section/fulldetails/id_vir/4375/tr_dldr.ibill.bf.html
お礼
NOD32は最新のバージョン(3656 20081202)となっています。 警告ウィンドウが表示されても、隔離されましたと書かれているだけで「駆除」「削除」はクリックができません。 この処理が繰り返されます。 svchostにログオンユーザ名で動いてるものはなかったのですが、何故でしょうか。 データをバックアップしたとしてもそのデータが感染されている可能性があるとしたらまるでバックアップした意味がないですね・・・。 全てをとっておきたいという訳ではなく、一部でいいので安全にバックアップする方法はないでしょうか。 セーフモードで起動し「駆除」をかけてみましたが Win32/AutoRun.Agent.BE ワーム というウイルスは検出されませんでした。
関連するQ&A
- autorun.infについて
最近、隠しファイルを表示できなくなりました。 検索していると、ウイルスにかかっているということがわかりました。 いろいろ検索して出た対処法をしてみましたが、うまくいきません。 NOD32を使う。 セーフモードにしてautorun.infを削除 autorun.infというフォルダを使う。 など。 また、kavo,mmvoなどは見つかりませんでした。 対処法の中に、autorun.infをメモ帳で開き、open=○○を見て、○○というファイルも削除するというのがあり、削除しました。 そのとき誤って○○をダブルクリックしてしまい、セーフモードでregeditのレジスタの値を1にしてもすぐに2や0に戻り、セーフモードでも隠しファイルが表示されなくなりました。 これはもう対処できないのでしょうか? よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- PCがウィルス感染?USBメモリにautorun.infが作成される。
PCがウィルス感染?USBメモリにautorun.infが作成される。 説明が長くなりますが、お願いします。 会社のパソコンですが、USBメモリ内にautorun.infがいつの間にか作成されてました。 フォルダオプションからシステムファイルを表示すると フォルダ名:MINUS が作成されておりその中にona.exeというアプリケーションも存在します。 そのUSBメモリを管理ツールのディスクフォーマットからフォーマットすると綺麗にすべてが消えます。 ウィルスに感染してないであろうパソコンにそのUSBメモリを差しても何のファイルも作成されず問題なく使用できます。 が、ウィルスに感染しているであろうパソコンに差すとまた同じくUSBメモリ内に autorun.inf MINUSの中にona.exe が作成されてしまいます。 パソコンにはマカフィーのウィルススキャンをインストールし定義ファイルも最新の状態です。 スキャンをしても何もひっかかりません。 パソコン内からウィルスを完全に削除したいのですが、手の施し用がありません。 ウィルスなどに詳しい方ご教授願います。
- ベストアンサー
- ウィルス・マルウェア
- C:\autorun.infを削除したい
ウイルススキャンを実行すると、 C:\autorun.inf が感染しているとの結果を受けました。 そして「操作の実行」を選ぶと他の感染ファイルに対して ファイルを隔離 が実行されました。この「ファイルを隔離」の意味も分かりませんが、もっと不安なのは C:\autorun.inf に対しては ウイルスを駆除できませんでした なる結果になったことです。 故に手動で削除しようとしたのですが、エクスプローラーでは見えません。 どうやったら削除できるのでしょうか。
- ベストアンサー
- ウィルス・マルウェア
- autorun.inf
先ほど友人のUSBフラッシュメモリーを私のパソコンにさしたら、ウイルスを検知して削除しましたというメッセージが30秒おきに出てくるようになりました。ウイルスの名前は下記のとおりです。(ウイルスバスターを使用しています。) (1)WORM ONLINE.OXB C:/hbq.exe (2)Mal Otorun2 C:/autorun.inf ネットで削除方法を検索したみたのですが、いまいちよく分からなかったので質問させていただきました。現状は (1)マイコンピューターからCドライブを開くことができない。 (2)隠しファイルを探そうとして、マイコンピュータからツール/フォルダーオプション/表示/すべてのファイルとフォルダを表示するに設定しても、無視される。 できればリカバリはしたくないのですが、なにか良い対処法はありますでしょうか。よろしくお願いいたします。
- 締切済み
- ウィルス・マルウェア
- AUTORUN.INFについて
ウィルス感染の疑いが出たので、自分の周囲のパソコンを調べています。 ウィルスに関するwebページなどを検索していて、「AUTORUN.INF」フォルダは怪しいという記述を見ました。検索したら、何と30件見つかりました。ウィルスバスターの会社のHPでは、メモ帳などで怪しい記述がないかとのことでしたが、色んなウィルスがあるため、どのファイルがおかしいか分かりません(AUTORUN.INFのファイルがあること自体、変ですか?)。 どのような記述があれば、ウィルス関係のファイルだと言えるでしょうか? パソコンの種類はWindowsXPです。 私はパソコンの専門的知識はありませんので、用語などはよく分かりません。分かりやすい言葉でお答えいただけると助かります。 勝手なお願いで申し訳ないのですが、よろしくお願いいたします。
- 締切済み
- ウィルス・マルウェア
- autorun.infとトロイの関係性
初めまして。当方PCについてはほぼ初心者の者です。 いきなりパソコンが固まり仕方なく再起動してしばらくするとウイルスバスターがウイルスを検知。 ウイルス名は「TSPY ONLINEG.MCL」となっておりID,PASSを盗む為のものかと思います。 C,Dドライブがダブルクリックで開かない等の不都合もありました。 色々調べていると巷で有名なUSBからくるautorun.infが邪魔をしているらしく 最近USBは挿してないのに・・・と思いつつもコマンドプロンプロから属性変更→削除をし レジストリも変更されていたので(隠しファイルが見れない等) それらも修復しました。 ここでそのautorun.infの中を調べれば解決したのかもしれませんが ウイルスバスターがウイルスを検知したのはsystem32内にある「pytdfse0.dll」というファイルで autorun.infを削除したあと再起動→ウイルスチェックをすると ファイル名が「pytdfse1.dll」(最後の数値が変わっています)となっていました。 削除しようとsystem32内で怪しいファイルを探しても見つからず レジストリからの自動実行やタスクマネージャで怪しいプログラム等が実行されてないか それらもチェックしましたが見当たりませんでした。 その日は諦めて次の日またウイルスバスターにてウイルスチェックをすると 削除してないにもかかわらずウイルスは検知されませんでした・・・? system32内に確かに存在したであろう「pytdfse0.dll」及び「pytdfse1.dll」はどこへいったのでしょうか・・・。 autorun.infを削除した事により自動的に消えるなんてありえるのでしょうか? とりあえずはウイルスが検出されなかったことに安心しつつも、やはり腑に落ちません・・・。 autorun.infと「TSPY ONLINEG.MCL」というトロイの関係を教えてくださる方おられましたら どうかお力をお貸し下さい・・・。
- 締切済み
- ウィルス・マルウェア
- autorun.infって消して大丈夫?
うちの会社の社長のパソコンにC:\autorun.infという ウィルスが感染していまい「ス」というウィルスソフト を使用しているのですがずっと出てきてしまう状態(隔離してはまた出てくる) 一体どういたらいいでしょうか? ※ win/psw.online.games トロイの木馬
- ベストアンサー
- ウィルス・マルウェア
- autorun.infを削除の削除方法
PCのマイコンピューターをクリックして、ローカルディスクCをクリックすると、『ファイルを開くプログラムの選択』に切り替わります。 以前までは、ドライブC内のファイル一覧のページに切り替わっていたのですが今は、おかしな上記のページに切り替わります。 困りました・・・ そこで、その解決方法を「教えてgoo」で質問したところ、 もし、右クリックしてエクスプローラで開けるようなら、ドライブの直下にあるautorun.infを削除すれば解決します。 と回答者から返事をもらいました。 上記の操作を行い、エクスプローラで開いたのですが、ドライブの直下にautorun.infがありません。 autorun.infはいったどこに隠れているのでしょうか?? お手数ですが、よろしくお願いいたします。
- 締切済み
- Windows XP
- autorun.infについて
いろいろ調べたのですが分からないためお伺いします。 autorun.infの記述(中身)について教えていただきたいと思います。 CD-ROMをCD-ROMドライブに挿入した際に、自動実行するように 設定するautorun.infがあると思います。 実際、以下のような記述のものがあるとします。 [autorun] OPEN=notepad.exe shell\open=打?(&O) shell\open\Command=notepad.exe shell\open\Default=1 shell\explore=?源管理器(&X) shell\explore\Command=notepad.exe 5段目の「shell\open\Default=1」は実際どのような動作、意味を 持っているのでしょうか? 宜しくお願いします。
- 締切済み
- その他([技術者向] コンピューター)
- Autorun.infでのエラー
お世話になります。 2GBのmicroSDカードを買ったのですが、 それをパソコンに挿したときに プログラムを自動実行させたくて、Autorunファイルを作りました。 ですが、「S:\ アクセスが拒否されました。」 というエラーが出てきてしまいます。(ドライブ文字はSです) どうすれば解決できるでしょうか。 よろしくお願いします。 --------------------------------------------------------------------------- Windows XP Professional Service Pack 3 --------------------------------------------------------------------------- Autorun.inf [autorun] OPEN=.\soft\Stup\stup.exe ICON=microsd.ico ACTION = 実行
- 締切済み
- 記録メディア
お礼
貼っていただいたリンクですが定義名称にINF/Autorunと書いてありますがWin32/AutoRun.Agent.BE ワームと同じウイルスなのでしょうか? もしもクリーンインストールする場合には、バックアップしておきたいデータなどもあるのですがそれはまずいでしょうか。 回答ありがとうございました。